Threats
A vulnerabilidade afeta todos os routers e condutores Session Smart e tem uma pontuação CVSS de dez
02/07/2024
|
A Juniper Networks publicou um comunicado de segurança out-of-cycle para alertar para uma vulnerabilidade crítica que permite contornar a autenticação nos routers e condutores Session Smart. Identificada como CVE-2024-2973, com uma pontuação CVSS de dez, a vulnerabilidade afeta todos os routers e condutores Session Smart que funcionam com configurações secundárias de alta disponibilidade. “Uma vulnerabilidade de contorno de autenticação que usa um caminho ou um canal alternativo nos routers e condutores Session Smart da Juniper Networks em funcionamento com uma ligação redundante permite um cibercriminosos que tenha base na rede de ultrapassar a autenticação e assumir o controlo total do dispositivo”, lê-se no comunicado da empresa. Segundo a companhia, as versões antes da versão 5.6.15, 6.1.9-lts e 6.2.5-sts dos routers e conectores Session Smart são afetados pela CVE-2024-2973. As versões antes das versões 6.1.9-lts e 6.2.5-sts do router WAN Assurance também são afetadas pela vulnerabilidade. SSR-5.6.15, SSR-6.1.9-lts, SSR-6.2.5-sts e versões seguintes já resolvem esta vulnerabilidade. “Aconselhamos que os sistemas afetados façam a atualização para as versões mais recentes do software. Numa instalação conduzida pelo condutor, é suficiente apenas atualizar os nós do condutor e a correção fica aplicada automaticamente a todos os routers ligados. Na prática, os routers têm de ser atualizados para uma versão fixa, mas se estiverem conectados a um condutor atualizado deixam de estar vulneráveis”, explica a Juniper Networks. A empresa também explicou que a vulnerabilidade foi automaticamente resolvida nos dispositivos afetados nos routers WAN Assurance administrados pela Mist que estão ligados à Mist Cloud. “É importante notar que a correção é aplicada automaticamente nos routers geridos por um condutor ou nos routers WAN Assurance, não existindo qualquer impacto nas funções do plano de dados do router. A implementação da correção não afeta o fluxo de produção”, refere a companhia. A atualização, no entanto, pode causar um downtime de menos de 30 segundos à gestão feita em rede e os API. A Juniper Networks salienta que não existem soluções alternativas disponíveis para esta vulnerabilidade e que não existe conhecimento de que a falha esteja a ser utilizada em ataques. |
Receba todas as novidades na sua caixa de correio!
THREATS
Nova técnica de phishing rouba credenciais bancárias em iOS e Android
COMPLIANCE
Estados Unidos lançam guia de boas práticas para event logging e threat detection
OPINION
Do Shadow IT ao Shadow AI: o perigo do uso não autorizado de IA nas empresas
NEWS
Auditoria ao FBI revela falhas de segurança na gestão de armazenamento
THREATS
Malware para Linux evitou deteção durante dois anos
THREATS
Vulnerabilidade zero-day expõe CCTV ao Mirai
THREATS
Nova operação de RaaS tem vindo a crescer nos últimos meses
THREATS
SonicWall corrige vulnerabilidade crítica
THREATS
Cisco corrige vulnerabilidades no NX-OS
THREATS
Vulnerabilidade zero-day no WPS Office utilizado para ciberespionagem
