Kritische Schwachstelle in verschiedenen Juniper-Produkten geschlossen

Die Schwachstelle CVE-2024-2973 betrifft die genannten Juniper-Produkte nur, wenn sie in einer hochverfügbaren redundanten Umgebung verwendet werden. In diesem Fall können Angreifende die Authentifizierung umgehen und ein System vollständig übernehmen. Eine aktive Ausnutzung der Sicherheitslücke ist laut Juniper allerdings nicht bekannt. Vielmehr stieß der Hersteller bei internen Sicherheitstests und -recherchen auf die Schwachstelle.

Betroffen sind folgende Versionen der Produkte:

• Session Smart Router und Session Smart Conductor:
  • Alle Versionen vor 5.6.15
  • Version 6.0 bis < 6.1.9-lts
  • Version 6.2 bis < 6.2.5-sts
• WAN Assurance Router:
  • Version 6.0 bis < 6.1.9-lts
  • Version 6.2 bis < 6.2.5-sts

Mit den Versionen 5.6.15, 6.1.9-lts und 6.2.5-sts behebt der Hersteller die Schwachstellen. Bei Systemen, die über den Conductor verwaltet werden, reicht eine Aktualisierung des Conductors aus. Über Mist verwaltete WAN Assurance Router werden automatisch über die Mist-Cloud aktualisiert.

Juniper Networks ist der weltweit zweitgrößte Netzwerkausrüster. Sitz des Unternehmens ist Sunnyvale in Kalifornien.

In professionellen Hochverfügbarkeitsumgebungen besteht durch diese Schwachstelle ein erhebliches Bedrohungspotenzial.

Juniper rät den Betreibern der betroffenen Produkte, diese rasch auf eine sichere Version zu aktualisieren.