دو پلتفرم Junos دارای تنظیمات پیش فرض برای حساب کاربری root میباشد. vMX و MX150 بدون تغییر مقدار پیش فرض توسط مدیر سیستم، به حمله کننده اجازه اکسپلویت حساب کاربری را بدون احراز هویت می دهد.
شناسه آسیبپذیری:
CVE-2020-1615
سطح ریسک:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Base Score: 9.8 Critical
نسخههای آسیبپذیر:
This issue affects Juniper Networks Junos OS:
- ۱۷.۱ versions prior to 17.1R2-S11, 17.1R3-S2 on vMX;
- ۱۷.۲ versions prior to 17.2R3-S3 on vMX;
- ۱۷.۳ versions prior to 17.3R2-S5, 17.3R3-S7 on vMX;
- ۱۷.۴ versions prior to 17.4R2-S9, 17.4R3 on vMX;
- ۱۸.۱ versions prior to 18.1R3-S9 on vMX;
- ۱۸.۲ versions prior to 18.2R2-S7, 18.2R3-S3 on vMX;
- ۱۸.۲X75 versions prior to 18.2X75-D420, 18.2X75-D60 on vMX;
- ۱۸.۳ versions prior to 18.3R1-S7, 18.3R2-S3, 18.3R3-S1 on vMX;
- ۱۸.۴ versions prior to 18.4R1-S5, 18.4R2-S3, 18.4R3 on vMX;
- ۱۹.۱ versions prior to 19.1R1-S4, 19.1R2, 19.1R3 on vMX;
- ۱۹.۲ versions prior to 19.2R1-S3, 19.2R2 on vMX;
- ۱۹.۳ versions prior to 19.3R1-S1, 19.3R2 on vMX.
نیازمندی تعامل کاربر: خیر
سال شناسایی: ۲۰۲۰
توضیحات:
این آسیب پذیری مرتبط با اطلاعات کاربری هاردکد شده بر روی این پلتفرم می باشد که در هنگام احراز هویت کاربر از آن استفاده می شود. این باگ امنیتی منجربه ارایه دسترسی به مهاجمین و پشت سرگذاشتن فرآیند احراز هویت می شود. شناسایی این مشکل امنیتی برای مسوولین امنیتی امری پیچیده است و حتی با شناسایی آن، رفع و یا حذف مشکل برای بعضی شرایط می تواند غیرممکن باشد و یا منجربه غیرفعالسازی ویژگی در سامانه گردد. آسیبپذیری امنیتی Junos، در نسخه های بعدی رفع شدهاند و شرکت juniper وصله امنیتی به روزرسانی را ارایه نموده است که پیشنهاد می شود سریعا به روز رسانی شود.
