Juniper製品に5つの脆弱性 パッチの適用は必要なのか

Juniper Networksは同社製品に関係する5つの脆弱性に対して警告を発表した。ユーザーはどのように対応すればよいのだろうか。

[Matt Kapko，Cybersecurity Dive]

　Juniper Networksは2023年8月中旬、4つの脆弱（ぜいじゃく）性を開示し、パッチを公開した。共通脆弱性評価システム（CVSS）における評価が10点中9.8点という緊急の脆弱性も含まれている。

ユーザーはどう対応すればよいのか。

　さらに5番目の脆弱性が2023年9月下旬に報告された。これらの脆弱性はどの程度危険なのだろうか。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2023年11月9日（現地時間、以下同）、「『Juniper Junos OS』を搭載したデバイスにおける5つの脆弱性をサイバー攻撃者が積極的に悪用している」と警告した（注1）。これらの脆弱性は、CISAの既知の脆弱性のカタログにも掲載されている（注2）。

　Juniper Networksのセキュリティインシデント対応チームによると、これらの脆弱性が悪用されたことを最初に認識したのは2023年11月8日だという。

　同社はこれらの脆弱性が連鎖して、リモートコード実行の可能性があると警告した。

いつ対応すればよいのか

　同社は2023年11月8日のアップデートにおいて、「パッチが適用されていない『Juniper SRX』シリーズと『Juniper EX』シリーズのネットワークスイッチを使用している顧客は、直ちにデバイスをアップグレードする必要がある」と発表した（注3）。「J-Web」インタフェースへのアクセスを無効にするか、信頼できるホストのみにアクセスを制限する方法でも脆弱性を回避できる。

　これら5つの脆弱性はCVE-2023-36844（注4）、CVE-2023-36845（注5）、CVE-2023-36846（注6）、CVE-2023-36847（注7）、CVE-2023-36851（注8）だ。脆弱性が悪用されると、認証されていないネットワークベースの攻撃者がリモートでコードを実行できる可能性がある。

　Juniper Networksのネットワークルーターやスイッチ、ファイアウォールなどではJunos OSが動作する。CISAの既知の脆弱性のカタログには1037件の脆弱性が掲載されており、Junos OSに関するものは6件ある。CISAによると、悪用された脆弱性はランサムウェアキャンペーンで使用されたものとは異なるという。

　CISAは「この種の脆弱性は悪意のある攻撃者に頻繁に利用され、連邦政府によって運営される組織にとって重大なリスクとなる」と述べた。連邦政府機関は2023年11月17日までに、インターネットに接続されているJuniper Networksのデバイスの問題に対処する必要がある。

　セキュリティ組織Shadowserver Foundationのデータによると（注9）、Juniper Networksのデバイスは1万台以上インターネットに接続されているという。

出典：5 Juniper CVEs actively exploited in the wild（Cybersecurity Dive）
注1：CISA Adds Six Known Exploited Vulnerabilities to Catalog（CISA）
注2：Known Exploited Vulnerabilities Catalog（CISA）
注3：2023-08 Out-of-Cycle Security Bulletin: Junos OS: SRX Series and EX Series: Multiple vulnerabilities in J-Web can be combined to allow a preAuth Remote Code Execution（Juniper Networks）
注4：CVE-2023-36844 Detail（NIST）
注5：CVE-2023-36845 Detail（NIST）
注6：CVE-2023-36846 Detail（NIST）
注7：CVE-2023-36847 Detail（NIST）
注8：CVE-2023-36851 Detail（NIST）
注9：Results（Shadowserver Foundation）