دو پلتفرم Junos دارای تنظیمات پیش فرض برای حساب کاربری root می‌باشد. vMX و MX150 بدون تغییر مقدار پیش فرض توسط مدیر سیستم، به حمله کننده اجازه اکسپلویت حساب کاربری را بدون احراز هویت می دهد.

شناسه آسیب‌پذیری:

CVE-2020-1615

سطح ریسک:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Base Score: 9.8 Critical

نسخه‌های آسیب‌پذیر:

This issue affects Juniper Networks Junos OS:

  • ۱۷.۱ versions prior to 17.1R2-S11, 17.1R3-S2 on vMX;
  • ۱۷.۲ versions prior to 17.2R3-S3 on vMX;
  • ۱۷.۳ versions prior to 17.3R2-S5, 17.3R3-S7 on vMX;
  • ۱۷.۴ versions prior to 17.4R2-S9, 17.4R3 on vMX;
  • ۱۸.۱ versions prior to 18.1R3-S9 on vMX;
  • ۱۸.۲ versions prior to 18.2R2-S7, 18.2R3-S3 on vMX;
  • ۱۸.۲X75 versions prior to 18.2X75-D420, 18.2X75-D60 on vMX;
  • ۱۸.۳ versions prior to 18.3R1-S7, 18.3R2-S3, 18.3R3-S1 on vMX;
  • ۱۸.۴ versions prior to 18.4R1-S5, 18.4R2-S3, 18.4R3 on vMX;
  • ۱۹.۱ versions prior to 19.1R1-S4, 19.1R2, 19.1R3 on vMX;
  • ۱۹.۲ versions prior to 19.2R1-S3, 19.2R2 on vMX;
  • ۱۹.۳ versions prior to 19.3R1-S1, 19.3R2 on vMX.

نیازمندی تعامل کاربر: خیر

سال شناسایی: ۲۰۲۰

توضیحات:

این آسیب پذیری مرتبط با اطلاعات کاربری هاردکد شده بر روی این پلتفرم می باشد که در هنگام احراز هویت کاربر از آن استفاده می شود. این باگ امنیتی منجربه ارایه دسترسی به مهاجمین و پشت سرگذاشتن فرآیند احراز هویت می شود. شناسایی این مشکل امنیتی برای مسوولین امنیتی امری پیچیده است و حتی با شناسایی آن، رفع و یا حذف مشکل برای بعضی شرایط می تواند غیرممکن باشد و یا منجربه غیرفعالسازی ویژگی در سامانه گردد. آسیب‌پذیری امنیتی Junos، در نسخه های بعدی رفع شده‌اند و شرکت juniper وصله امنیتی به روزرسانی را ارایه نموده است که پیشنهاد می شود سریعا به روز رسانی شود.

منابع:

  1. NVD
  2. knowledge base Juniper