Juniper Networks ha lanzado una actualización de emergencia para corregir una vulnerabilidad que afecta a enrutadores o conductores que se ejecutan en configuraciones redundantes de alta disponibilidad.
Productos afectados:
Session Smart Router y Conductor:
-todas las versiones anteriores a 5.6.15
-versiones 6.0 hasta 6.1.9-lts
-versiones 6.2 hasta 6.2.5-sts
WAN Assurance Router:
-versiones 6.0 hasta anteriores a 6.1.9-lts
-versiones 6.2 hasta anteriores a 6.2.5-sts
Impacto de la vulnerabilidad:
CVE-2024-2973 (CVSSv4 10.0): vulnerabilidad de severidad crítica de omisión de autenticación mediante una ruta o canal alternativo en el Juniper Networks Session Smart Router o el conductor que se ejecuta con un par redundante podria permitir a un actor malicioso basado en la red omitir la autenticación y tomar el control total del dispositivo.
Recomendación:
Se recomienda actualizar a la ultima version disponible de los productos afectados desde la pagina oficial del fabricante
Referencia:
-https://support.juniper.net/support/eol/software/ssr/
-https://supportportal.juniper.net/s/article/2024-06-Out-Of-Cycle-Security-
Bulletin-Session-Smart-Router-SSR-On-redundant-router-deployments-API-
authentication-can-be-bypassed-CVE-2024-2973?language=en_US
-https://nvd.nist.gov/vuln/detail/cve-2024-2973