Le fournisseur de solutions de réseau et de cybersécurité Juniper Networks a publié cette semaine plus de 40 avis de sécurité décrivant plus de 70 vulnérabilités qui affectent les produits de l’entreprise.
Environ la moitié des avis décrivent des vulnérabilités critiques et de haute gravité, y compris celles qui peuvent être exploitées pour des attaques par déni de service (DoS), l’exécution de code à distance (y compris via des attaques XSS), l’élévation des privilèges et le contournement de la sécurité. La plupart des défauts sont introduits par l’utilisation de composants tiers.
La majorité des failles de sécurité ont un impact sur le système d’exploitation Junos OS de Juniper, qui alimente de nombreux produits de l’entreprise.
Des cotes globales de gravité critique ont été attribuées à deux avis. L’un d’eux traite plus d’une douzaine de vulnérabilités découvertes depuis 2017 dans des composants tiers utilisés par Contrail Insights (anciennement AppFormix).
Le deuxième avis critique décrit une vulnérabilité de contournement d’authentification affectant 128 routeurs intelligents de session technologique. La faille peut être exploitée par un attaquant pour « afficher des fichiers internes, modifier des paramètres, manipuler des services et exécuter du code arbitraire ».
Juniper a publié des mises à jour et des correctifs pour corriger les vulnérabilités divulguées cette semaine et, dans certains cas, des solutions de contournement et des mesures d’atténuation sont également disponibles pour prévenir ou réduire le risque d’exploitation.
Juniper a déclaré que de nombreuses vulnérabilités avaient été découvertes lors de tests ou de recherches internes sur la sécurité des produits. Rien n’indique qu’une de ces failles ait été exploitée à l’état sauvage.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a demandé jeudi aux organisations d’examiner les avis de Juniper et d’appliquer les mises à jour nécessaires.
Connexe : Juniper Networks corrige des vulnérabilités critiques dans les pare-feu
Connexes: Des responsables américains interrogent Juniper Networks sur l’enquête sur la porte dérobée 2015
Connexes: Juniper Patches Critical…
