Le prestataire de solutions de mise en réseau et de cybersécurité Juniper Networks a publié cette semaine plus de 40 avis de sécurité décrivant plus de 70 vulnérabilités affectant ses produits.

Environ la moitié des bulletins décrivent des vulnérabilités critiques et de haute gravité, notamment celles qui peuvent être exploitées pour des attaques par déni de service (DoS), l'exécution de code à distance (y compris par des attaques XSS), l'élévation des privilèges et le contournement de la sécurité. Bon nombre de ces failles sont introduites par l'utilisation de composants tiers.

La plupart des failles de sécurité concernent le système d'exploitation Junos OS de Juniper, qui équipe de nombreux produits de l'entreprise.

Des scores de gravité critique ont été attribués à deux avis. L'un d'eux traite de plus d'une douzaine de vulnérabilités découvertes depuis 2017 dans des composants tiers utilisés par Contrail Insights (anciennement connu sous le nom d'AppFormix). Le second bulletin critique décrit une vulnérabilité de contournement d'authentification affectant 128 routeurs intelligents Technology Session. La faille peut être exploitée par un attaquant pour visualiser les fichiers internes, modifier les paramètres, manipuler les services et exécuter du code arbitraire.

Juniper a publié des mises à jour et des correctifs pour remédier aux vulnérabilités divulguées. Des solutions de contournement et d'atténuation sont également disponibles pour empêcher ou réduire le risque d'exploitation.

Juniper a déclaré qu'un grand nombre de ces vulnérabilités ont été découvertes lors de tests ou de recherches internes sur la sécurité des produits. Rien n'indique que l'une de ces failles ait été exploitée dans la nature.

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a demandé aux organisations d'examiner les bulletins de sécurité de Juniper et d'appliquer les mises à jour nécessaires.