Podatność typu Use of Default Password w komponencie Juniper Networks Support Insights (JSI) Virtual Lightweight Collector (vLWC) pozwala nieuwierzytelnionemu atakującemu na przejęcie pełnej kontroli nad urządzeniem. Brak wymuszonej zmiany hasła podczas procesu wdrożenia sprawia, że konto z wysokimi uprawnieniami pozostaje zabezpieczone fabrycznym hasłem.
▸ Pokaż oryginał (EN)
A Use of Default Password vulnerability in the Juniper Networks Support Insights (JSI) Virtual Lightweight Collector (vLWC) allows an unauthenticated, network-based attacker to take full control of the device. vLWC software images ship with an initial password for a high privileged account. A change of this password is not enforced during the provisioning of the software, which can make full access to the system by unauthorized actors possible.This issue affects all versions of vLWC before 3.0.94.
Obrazy oprogramowania vLWC są dostarczane z domyślnym hasłem przypisanym do konta o wysokich uprawnieniach. Podczas procesu provisioning nie jest wymagana zmiana tego hasła, co oznacza, że po wdrożeniu systemu konto nadal może być dostępne z oryginalnym, przewidywalnym hasłem. Atakujący z dostępem sieciowym może wykorzystać te dane uwierzytelniające do zalogowania się i uzyskania pełnego dostępu do systemu bez konieczności posiadania jakichkolwiek wcześniejszych uprawnień.
Atakujący może uzyskać pełną kontrolę nad urządzeniem vLWC, co obejmuje możliwość odczytu, modyfikacji oraz zakłócenia działania systemu zbierającego dane diagnostyczne i wsparcia sieci.
Należy zaktualizować oprogramowanie vLWC do wersji 3.0.94 lub nowszej. Do czasu zastosowania patcha zaleca się ręczną zmianę domyślnego hasła konta uprzywilejowanego oraz ograniczenie dostępu sieciowego do interfejsu zarządzania urządzenia. Szczegółowe instrukcje dostępne są w poradniku producenta: https://kb.juniper.net/JSA107871
Wszystkie wersje Juniper Networks Support Insights (JSI) Virtual Lightweight Collector (vLWC) przed wersją 3.0.94
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:Y/R:U/V:X/RE:L/U:X