近12000个瞻博防火墙暴露在互联网上且未修复近期RCE漏洞

最近的网络安全观察中发现，近 12000 个暴露在互联网上的瞻博网络防火墙设备容易受到最近披露的远程代码执行漏洞的影响。

网络安全研究人员发现了 CVE-2023-36845 的新漏洞，未经身份验证的远程攻击者可以利用该漏洞在瞻博网络防火墙上执行任意代码，而无需在系统上创建文件。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，CVE-2023-36845 是指Junos OS 的 J-Web 组件中的一个中危漏洞，攻击者可以利用漏洞来控制某些重要的环境变量。Juniper公司上个月在一次周期外更新中与 CVE-2023-36844、CVE-2023-36846 和 CVE-2023-36847 一起修复了该漏洞。

网络安全研究人员设计的后续概念验证 (PoC) 漏洞结合了 CVE-2023-36846 和 CVE-2023-36845，上传包含恶意 shellcode 的 PHP 文件并实现代码执行。

另一方面，最新的漏洞会影响旧系统，并且可以使用单个 cURL 命令编写。具体来说，它仅依赖 CVE-2023-36845 来实现相同的目标。

反过来，这是通过使用标准输入（stdin）通过特制的 HTTP 请求将PHPRC环境变量设置为“/dev/fd/0”来完成的，从而有效地将“/dev/fd/0”转换为临时文件，并泄露敏感信息。

然后，通过利用 PHP 的auto_prepend_file和allowed_url_include选项以及data:// 协议包装器来实现任意代码执行。

极牛攻防实验室表示，防火墙是 APT 感兴趣的目标，因为它们有助于桥接受保护的网络，并可以充当 C2 基础设施的有用主机。任何拥有未打​​补丁的瞻博网络防火墙的人都应该检查它是否有受到损害的迹象。