La CISA a lancé un avertissement aux agences fédérales, leur demandant de sécuriser les équipements Juniper sur leurs réseaux d'ici vendredi, en raison de quatre vulnérabilités exploitées dans des attaques d'exécution de code à distance dans le cadre d'une chaîne d'exploitation pré-auth. Cette alerte fait suite à la récente mise à jour de l'avis de Juniper, reconnaissant l'exploitation réussie de failles dans l'interface J-Web (CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847).

Le SIRT de Juniper a confirmé les exploits et conseillé des mises à jour immédiates. ShadowServer a détecté des tentatives d'exploitation le 25 août, une semaine après les mises à jour de sécurité de Juniper et la publication par watchTowr Labs d'un prototype d'exploitation. Plus de 10 000 appareils Juniper exposés, principalement en Corée du Sud, sont vulnérables.

Les administrateurs sont invités à sécuriser rapidement les appareils en mettant à jour JunOS ou, au minimum, à restreindre l'accès à Internet à l'interface J-Web. Compte tenu de la facilité d'exploitation et de la position privilégiée des appareils JunOS sur le réseau, une exploitation à grande échelle est à craindre.

La CISA a ajouté ces vulnérabilités à son catalogue des vulnérabilités connues et exploitées, ce qui a incité les agences fédérales civiles du pouvoir exécutif des États-Unis à prendre des mesures urgentes en vertu du BOD 22-01. Les agences doivent mettre à jour tous les appareils Juniper d'ici le 17 novembre. Bien que la directive vise les agences fédérales, la CISA encourage toutes les organisations à donner la priorité aux correctifs.

La CISA  a publié en juin son premier BOD de l'année, demandant aux agences fédérales américaines de renforcer la sécurité des équipements de réseau exposés à Internet ou mal configurés, y compris les pare-feu et les commutateurs de Juniper, dans un délai de deux semaines après la découverte de l'équipement.