Les routeurs Juniper Networks affectés par une faille de sécurité critique : CVE-2024-2973
Un correctif de sécurité a été publié en urgence par Juniper Networks afin de protéger les utilisateurs d'une vulnérabilité critique présente dans plusieurs de ses solutions : Session Smart Router (SSR), Session Smart Conductor, et WAN Assurance Router. Faisons le point.
Cette nouvelle faille de sécurité, associée à la référence CVE-2024-2973 et à un score CVSS v3.1 de 10 sur 10, est particulièrement dangereuse puisqu'elle permet à un attaquant de contourner l'authentification ! Grâce à elle, un pirate pourrait prendre le contrôle total d'un appareil vulnérable, à distance via le réseau.
Il est important de préciser que cette vulnérabilité est exploitable uniquement dans une configuration bien particulière. En effet, elle affecte uniquement les routeurs ou la solution Conductor lorsque le mécanisme de redondance est activé. Autrement dit, s'il y a plusieurs routeurs Juniper Networks mis en place en haute disponibilité, ils sont potentiellement vulnérables.
Comment se protéger ?
La seule solution pour se protéger, c'est l'installation du correctif de sécurité. Juniper Networks précise qu'il n'y a pas de solution alternative. Il est recommandé d'appliquer le correctif dès que possible, car les appareils Juniper Networks, au même titre que ceux de Fortinet, Cisco et consorts représentent des cibles privilégiées par les attaquants.
Voici les versions affectées par la vulnérabilité CVE-2024-2973.
Session Smart Router :
- Toutes les versions avant 5.6.15,
- À partir de la version 6.0, et antérieure à la version 6.1.9-lts,
- À partir de la version 6.2, et antérieure à la version 6.2.5-sts.
Session Smart Conductor :
- Toutes les versions avant 5.6.15,
- À partir de la version 6.0, et antérieure à la version 6.1.9-lts,
- À partir de la version 6.2, et antérieure à la version 6.2.5-sts.
WAN Assurance Router :
- À partir de la version 6.0, et antérieure à la version 6.1.9-lts,
- À partir de la version 6.2, et antérieure à la version 6.2.5-sts.
En résumé, pour vous protéger, vous devez utiliser l'une des versions suivantes : SSR-5.6.15, SSR-6.1.9-lts, SSR-6.2.5-sts, et les futures versions ultérieures.
"Dans un déploiement géré par le Conductor, il suffit de mettre à jour les nœuds du Conductor et la correction sera appliquée automatiquement à tous les routeurs connectés. En pratique, les routeurs doivent toujours être mis à niveau vers une version corrigée, mais ils ne seront plus vulnérables une fois qu'ils seront connectés à un Conductor mis à niveau.", peut-on lire dans le bulletin de sécurité de Juniper Networks. Par ailleurs, l'éditeur évoque une interruption de service d'environ 30 secondes pour l'application du patch.
