Junos OS

Die Schwachstelle betrifft Juniper Junos OS auf den SRX-Geräten der SRX-Serie, einer Reihe von Sicherheits- und Firewall-Appliances. Ursache ist eine fehlende Authentifizierung für eine sicherheitskritische Funktion: Eine bestimmte Anfrage an die Komponente user.php verlangt keine Anmeldung. Dadurch kann ein nicht authentifizierter Angreifer aus dem Netzwerk über die Web-Verwaltungsoberfläche J-Web beliebige Dateien hochladen, ohne sich zuvor anmelden zu müssen. Die Folge ist eine Verletzung der Integrität eines bestimmten Teils des Dateisystems – der Angreifer kann dort also Inhalte ablegen oder verändern, die er nicht ablegen dürfte. Für sich genommen ist die unmittelbare Auswirkung begrenzt. Gefährlich wird die Lücke jedoch in Kombination: Das Einschleusen eigener Dateien lässt sich mit weiteren Schwachstellen verketten und kann so als Baustein für tiefergehende Angriffe auf das Gerät dienen.