Компания Juniper Networks выпустила экстренное обновление для устранения критической уязвимости CVE-2024-2973 (10 баллов из 10 возможных по шкале CVSS), которая приводит к обходу аутентификации в продуктах Session Smart Router (SSR), Session Smart Conductor и WAN Assurance Router.
Как сообщают разработчики, уязвимость, связанная с обходом аутентификации, была обнаружена в ходе внутреннего аудита и использует альтернативный путь или канал в Juniper Networks Session Smart Router или Conductor, позволяя злоумышленнику миновать аутентификацию и получить полный контроль над устройством.
Отмечается, что недостаток затрагивает только те устройства, которые работают в конфигурациях с высокой избыточностью. Так, CVE-2024-2973 представляет угрозу для следующих версий продуктов.
- Session Smart Router (все версии до 5.6.15, от 6.0 до 6.1.9-lts и от 6.2 до 6.2.5-sts);
- Session Smart Conductor (все версии до 5.6.15, от 6.0 до 6.1.9-lts и от 6.2 до 6.2.5-sts);
- WAN Assurance Router (версии 6.0 до 6.1.9-lts и версии 6.2 до 6.2.5-sts).
Патчи уже доступны для маршрутизаторов Session Smart Router в версиях 5.6.15, 6.1.9-lts и 6.2.5-sts. Маршрутизаторы WAN Assurance Router получат исправления автоматически при подключении к Mist Cloud, а администраторам кластеров High-Availability необходимо обновить их до SSR-6.1.9 или SSR-6.2.5.
Производитель заверяет, что установка исправлений не приведет к нарушению производственного трафика и окажет минимальное воздействие на системы клиентов (примерно 30 секунд простоя для веб-управления и API).