CCN-CERT AV 09/24 Actualizaciones de seguridad para productos Juniper

Fecha de publicación: 01/07/2024

Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de una actualización de seguridad por parte del fabricante Juniper Networks, catalogada como CVE-2024-2973, para solucionar una vulnerabilidad de máxima gravedad que permite eludir la autenticación en los productos Session Smart Router (SSR), Session Smart Conductor y WAN Assurance Router. En caso de no realizarse dicha actualización, un atacante podría aprovechar esta vulnerabilidad para hacerse con el control total del dispositivo.

Según señala el fabricante en una nota, se trata de una vulnerabilidad de elusión de autenticación mediante una ruta o canal alternativo en el router inteligente de sesión o conductor de Juniper Networks que se ejecuta con un peer redundante y que permite a un atacante tomar el control del dispositivo de manera remota.

Cabe señalar que solo los routers o conductores que están funcionando en configuraciones redundantes de alta disponibilidad están afectados por esta vulnerabilidad.

Recursos afectados

Las versiones de producto afectadas por la vulnerabilidad CVE-2024-2973 son:

Session Smart Router & Conductor:

• Todas las versiones anteriores a la 5.6.15
• Desde la 6.0 antes de 6.1.9-lts
• Desde la 6.2 antes de 6.2.5-sts

WAN Assurance Router:

• Versiones 6.0 anteriores a 6.1.9-lts
• Versiones anteriores a 6.2.5-sts

Solución a las vulnerabilidades

En estos momentos existen actualizaciones de seguridad para Session Smart Router en las versiones 5.6.15, 6.1.9-lts y 6.2.5-sts. Los WAN Assurance Routers se parchean automáticamente cuando se conectan a Mist Cloud, pero los administradores de clusters de Alta Disponibilidad necesitan actualizarse a SSR-6.1.9 o SSR-6.2.5.

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias

• Juniper releases out-of-cycle fix for max severity auth bypass flaw

• 2024-06: Out-Of-Cycle Security Bulletin: Session Smart Router(SSR): On redundant router deployments API authentication can be bypassed (CVE-2024-2973)
• CVE-2024-2973

Atentamente,

Equipo CCN-CERT