資安廠商 VulnCheck 在近期發表的研究報告中,公開了該公司旗下資安專家發展出的概念攻擊證明(PoC)流程;該流程可利用 GitHub 上可免費取得使用的掃瞄工具,在開放網路上找到 12,000 台以上含有此漏洞的 Juniper 網路裝置加以攻擊。
受 CVE-2023-36845 漏洞影響的 Juniper 網通產品,包括執行下列版本 Junos OS 的 EX 與 SRX 系列機型:
- 20.4R3-S8 先前所有版本
- 21.1 版本 21.1R1 與後續版本
- 21.2R3-S6 先前的 21.2 版本
- 21.3R3-S5 先前的 21.3 版本
- 21.4R3-S5 先前的 21.4 版本
- 22.1R3-S3 先前的 22.1 版本
- 22.2R3-S2 先前的 22.2 版本
- 22.3R2-S2、22.3R3 先前的 22.3 版本
- 22.4R2-S1、22.4R3 先前的 22.4 版本
Juniper 已在日前釋出更新版本,但網路上仍有眾多受影響設備仍未及更新。
建議系統管理員應時時注意各軟硬體設備的漏洞與更新消息,並於第一時間套用更新,以免遭駭侵者透過已知但未修補的漏洞發動攻擊。