Kritische Schwachstelle in verschiedenen Juniper-Produkten geschlossen

- Warnmeldung

Juniper Networks schloss eine kritische Sicherheitslücke in den Produkten "Session Smart Router", "Session Smart Conductor" und "WAN Assurance Router". Die Lücke hat mit 10 den höchstmöglichen CVSS-Score.
Firmenschild von Juniper Networks

© Adobe Stock

Aktualisierte Versionen verfügbar

Die Schwachstelle CVE-2024-2973 betrifft die genannten Juniper-Produkte nur, wenn sie in einer hochverfügbaren redundanten Umgebung verwendet werden. In diesem Fall können Angreifende die Authentifizierung umgehen und ein System vollständig übernehmen. Eine aktive Ausnutzung der Sicherheitslücke ist laut Juniper allerdings nicht bekannt. Vielmehr stieß der Hersteller bei internen Sicherheitstests und -recherchen auf die Schwachstelle.

Betroffen sind folgende Versionen der Produkte:

  • Session Smart Router und Session Smart Conductor:
    • Alle Versionen vor 5.6.15
    • Version 6.0 bis < 6.1.9-lts
    • Version 6.2 bis < 6.2.5-sts
  • WAN Assurance Router:
    • Version 6.0 bis < 6.1.9-lts
    • Version 6.2 bis < 6.2.5-sts

Mit den Versionen 5.6.15, 6.1.9-lts und 6.2.5-sts behebt der Hersteller die Schwachstellen. Bei Systemen, die über den Conductor verwaltet werden, reicht eine Aktualisierung des Conductors aus. Über Mist verwaltete WAN Assurance Router werden automatisch über die Mist-Cloud aktualisiert.

Juniper Networks ist der weltweit zweitgrößte Netzwerkausrüster. Sitz des Unternehmens ist Sunnyvale in Kalifornien.

Bewertung

In professionellen Hochverfügbarkeitsumgebungen besteht durch diese Schwachstelle ein erhebliches Bedrohungspotenzial.

Empfehlung

Juniper rät den Betreibern der betroffenen Produkte, diese rasch auf eine sichere Version zu aktualisieren.