જ્યુનિપર જુનોસ OS માં ઘણી સુરક્ષા ખામીઓ હતી, જેમાંથી કેટલીક કોડ એક્ઝિક્યુશન હાંસલ કરવા માટે ઉપયોગમાં લઈ શકાય છે.
ઓક્ટાગોન નેટવર્ક્સના સંશોધક પૌલોસ યીબેલોના જણાવ્યા અનુસાર, જુનોસ OSના J-વેબ ઘટકમાં દૂરસ્થ પ્રી-અધિકૃત PHP આર્કાઇવ ફાઇલ ડિસિરિયલાઇઝેશન નબળાઈ (CVE-2022-22241, CVSS સ્કોર: 8.1) તેમાં મુખ્ય છે.
"આ નબળાઈનો ઉપયોગ બિનઅધિકૃત રીમોટ હુમલાખોર દ્વારા રીમોટ ફાર ફાઈલોને ડીસીરિયલાઈઝ કરવા માટે કરી શકાય છે, જે મનસ્વી ફાઈલ લખવા તરફ દોરી જાય છે, જે રીમોટ કોડ એક્ઝિક્યુશન (RCE) તરફ દોરી જાય છે," યીબેલોએ એક અહેવાલમાં જણાવ્યું હતું.
પાંચ અન્ય મુદ્દાઓ પણ ઓળખવામાં આવે છે, જે નીચે પ્રમાણે સૂચિબદ્ધ છે -
CVE-2022-22242 (CVSS સ્કોર: 6.1) – ભૂલ પૃષ્ઠ (“error.php”) પર પૂર્વ-પ્રમાણિત પ્રતિબિંબિત XSS, જે દૂરસ્થ પ્રતિસ્પર્ધીને Junos OS એડમિન સત્રને સાઇફન કરવાની મંજૂરી આપે છે અને પ્રમાણીકરણની જરૂર હોય તેવા અન્ય ખામીઓ સાથે સાંકળવામાં આવે છે.
CVE-2022-22243 (CVSS સ્કોર: 4.3) અને CVE-2022-22244 (CVSS સ્કોર: 5.3) – બે XPATH ઇન્જેક્શન ખામીઓ કે જે જુનોસ OS એડમિન સત્રોની ચોરી કરવા અને ચાલાકી કરવા માટે રિમોટ અધિકૃત હુમલાખોર દ્વારા શોષણ કરે છે.
CVE-2022-22245 (CVSS સ્કોર: 4.3) – પાથ ટ્રાવર્સલ ખામી કે જે રિમોટ અધિકૃત હુમલાખોરને PHP ફાઇલો કોઈપણ મનસ્વી સ્થાન પર અપલોડ કરવાની મંજૂરી આપી શકે છે, જે તાજેતરમાં જાહેર કરાયેલ RARlab UnRAR ખામી (CVE-2022- 30333), અને
CVE-2022-22246 (CVSS સ્કોર: 7.5) – એક સ્થાનિક ફાઇલ ઇન્ક્લુઝન નબળાઈ કે જેને અવિશ્વસનીય PHP કોડ ચલાવવા માટે હથિયાર બનાવી શકાય છે.
જુનિપર નેટવર્ક્સના ફાયરવોલ, રાઉટર્સ અને સ્વીચોના વપરાશકર્તાઓને ઉપરોક્ત ધમકીઓને ઘટાડવા માટે જુનોસ OS માટે ઉપલબ્ધ નવીનતમ સોફ્ટવેર પેચ લાગુ કરવાની ભલામણ કરવામાં આવે છે.
"આમાંથી એક અથવા વધુ મુદ્દાઓ અનધિકૃત સ્થાનિક ફાઇલ એક્સેસ, ક્રોસ-સાઇટ સ્ક્રિપ્ટીંગ હુમલાઓ, પાથ ઇન્જેક્શન અને ટ્રાવર્સલ અથવા સ્થાનિક ફાઇલ સમાવેશ તરફ દોરી શકે છે," જુનિપર નેટવર્ક્સે ઓક્ટોબર 12, 2022 ના રોજ બહાર પાડવામાં આવેલી સલાહમાં ખુલાસો કર્યો હતો.
જુનોસ OS વર્ઝન 19.1R3-S9, 19.2R3-S6, 19.3R3-S7, 19.4R3-S9, 20.1R3-S5, 20.2R3-S5, 20.3R3-S5, 20.4R1-3 માં મુદ્દાઓને સંબોધવામાં આવ્યા છે. R3-S2, 21.3R3, 21.4R3, 22.1R2, 22.2R1 અને પછીના.