Sintesi

Rilevata nuova vulnerabilità di sicurezza con gravità “alta” che interessa i prodotti Session Smart Router, Session Smart Conductor e WAN Assurance Router.

Tale vulnerabilità potrebbe consentire il bypass dell’autenticazione utilizzando un percorso o canale alternativo nei Session Smart Router o Session Smart Conductors di Juniper Networks che operano con un peer ridondante, permettendo ad un attaccante in rete di ottenere il pieno controllo del dispositivo.

Tipologia

• Authentication Bypass

Prodotti e versioni affette

Session Smart Router:

• tutte le versioni precedenti alla 5.6.15;
• versioni da 6.0 a 6.1.9-lts;
• versioni da 6.2 a 6.2.5-sts.

Session Smart Conductor:

• tutte le versioni precedenti alla 5.6.15;
• versioni da 6.0 a 6.1.9-lts;
• versioni da 6.2 a 6.2.5-sts.

WAN Assurance Router:

• versioni da 6.0 a 6.1.9-lts;
• versioni da 6.2 a 6.2.5-sts.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nei bollettini di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-2973

Riferimenti

https://supportportal.juniper.net/s/article/2024-06-Out-Of-Cycle-Security-Bulletin-Session-Smart-Router-SSR-On-redundant-router-deployments-API-authentication-can-be-bypassed-CVE-2024-2973?language=en_US

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.