Threats
A vulnerabilidade afeta todos os routers e condutores Session Smart e tem uma pontuação CVSS de dez
02/07/2024
|
A Juniper Networks publicou um comunicado de segurança out-of-cycle para alertar para uma vulnerabilidade crítica que permite contornar a autenticação nos routers e condutores Session Smart. Identificada como CVE-2024-2973, com uma pontuação CVSS de dez, a vulnerabilidade afeta todos os routers e condutores Session Smart que funcionam com configurações secundárias de alta disponibilidade. “Uma vulnerabilidade de contorno de autenticação que usa um caminho ou um canal alternativo nos routers e condutores Session Smart da Juniper Networks em funcionamento com uma ligação redundante permite um cibercriminosos que tenha base na rede de ultrapassar a autenticação e assumir o controlo total do dispositivo”, lê-se no comunicado da empresa. Segundo a companhia, as versões antes da versão 5.6.15, 6.1.9-lts e 6.2.5-sts dos routers e conectores Session Smart são afetados pela CVE-2024-2973. As versões antes das versões 6.1.9-lts e 6.2.5-sts do router WAN Assurance também são afetadas pela vulnerabilidade. SSR-5.6.15, SSR-6.1.9-lts, SSR-6.2.5-sts e versões seguintes já resolvem esta vulnerabilidade. “Aconselhamos que os sistemas afetados façam a atualização para as versões mais recentes do software. Numa instalação conduzida pelo condutor, é suficiente apenas atualizar os nós do condutor e a correção fica aplicada automaticamente a todos os routers ligados. Na prática, os routers têm de ser atualizados para uma versão fixa, mas se estiverem conectados a um condutor atualizado deixam de estar vulneráveis”, explica a Juniper Networks. A empresa também explicou que a vulnerabilidade foi automaticamente resolvida nos dispositivos afetados nos routers WAN Assurance administrados pela Mist que estão ligados à Mist Cloud. “É importante notar que a correção é aplicada automaticamente nos routers geridos por um condutor ou nos routers WAN Assurance, não existindo qualquer impacto nas funções do plano de dados do router. A implementação da correção não afeta o fluxo de produção”, refere a companhia. A atualização, no entanto, pode causar um downtime de menos de 30 segundos à gestão feita em rede e os API. A Juniper Networks salienta que não existem soluções alternativas disponíveis para esta vulnerabilidade e que não existe conhecimento de que a falha esteja a ser utilizada em ataques. |
Receba todas as novidades na sua caixa de correio!
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
NEWS
Ciberataques exigem mais de sete meses para recuperação total
NEWS
EUA lançam framework para utilização de IA em infraestruturas críticas
THREATS
Uso de anexos SVG cresce em emails de phishing para evitar a deteção
THREATS
Simuladores de movimento do rato são possíveis ciberameaças
THREATS
Cibercriminosos atacam vítimas na Europa com malware Strela Stealer
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
THREATS
Falha crítica em plugin do WordPress expôs mais de quatro milhões de sites
