TLP: White
Nivel de riesgo: CVSS v3.1: 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones de seguridad que corrigen las vulnerabilidades en los diferentes productos de Juniper, liberadas por la compañía el día 08 de abril de 2020.
Vector de ataque: Red, Acceso Remoto.
Impacto: El aprovechamiento exitoso de estas vulnerabilidades podría otorgar a un usuario malicioso el control total del sistema afectado con permisos de administrador.

El día de 08 de abril del año en curso, Juniper publicó actualizaciones para corregir algunas fallas de seguridad en varios de sus productos, entre los que se incluyen la plataforma de servicios de red de la serie NFX250, Junos OS, Junos OS Evolved y JATP. Los identificadores asignados a estas vulnerabilidades son:

  1. CVE-2020-1614 CVSS v3.1 – 10.0 [Crítica]
  2. CVE-2020-1615 CVSS v3.1 – 9.8 [Crítica]
  3. CVE-2020-1613 CVSS v3.0 – 8.6 [Alta]
  4. CVE-2020-1632 CVSS v3.0 – 8.6 [Alta]
  5. CVE-2020-1617 CVSS v3.0 – 7.5 [Alta]
  6. CVE-2020-1626 CVSS v3.0 – 7.5 [Alta]
  7. CVE-2020-1627 CVSS v3.0 – 7.5 [Alta]
  8. CVE-2020-1634 CVSS v3.0 – 7.5 [Alta]
  9. CVE-2020-1638 CVSS v3.0 – 7.5 [Alta]
  10. CVE-2020-1639 CVSS v3.0 – 7.5 [Alta]
  11. CVE-2020-1633 CVSS v3.0 – 7.4 [Alta]
  12. CVE-2020-1637 CVSS v3.0 – 7.2 [Alta]
  13. CVE-2019-1618 CVSS v3.0 – 6.5 [Media]
  14. CVE-2019-1625 CVSS v3.0 – 6.5 [Media]
  15. CVE-2019-1619 CVSS v3.0 – 6.0 [Media]
  16. CVE-2019-1629 CVSS v3.0 – 5.9 [Media]
  17. CVE-2019-1616 CVSS v3.0 – 5.3 [Media]
  18. CVE-2019-1628 CVSS v3.0 – 5.3 [Media]
  19. CVE-2019-1630 CVSS v3.0 – 5.0 [Media]

La criticidad de estas vulnerabilidades reside en el hecho de que pueden ser aprovechadas de forma remota y permiten la ejecución de código arbitrario, sin la necesidad de la interacción del usuario, ya que la configuración de fábrica en los productos afectados incluye credenciales predeterminadas para la cuenta de administrador. Sin la modificación de estos accesos, un usuario podría aprovechar el fallo y acceder a la instancia afectada permitiendo que ejecute código arbitrario en el equipo comprometido con permisos de administrador.

Nivel de riesgo

  • CVSS v3.1: 10.0 [Crítico]
  • CVSS v3.1: 9.8 [Crítico]
  • CVSS v3.1: 8.6 [Alta]
  • CVSS v3.1: 7.5 [Alta]
  • CVSS v3.1: 7.4 [Alta]
  • CVSS v3.1: 7.2 [Alta]
  • CVSS v3.0: 6.5 [Media]
  • CVSS v3.0: 6.0 [Media]
  • CVSS v3.0: 5.9 [Media]
  • CVSS v3.0: 5.3 [Media]
  • CVSS v3.0: 5.0 [Media]

Sistemas/tecnologías afectadas

Vulnerabilidad CVE-2020-1614

  • Juniper Network NFX250 vSRX VNF.

Vulnerabilidad CVE-2020-1615

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2020-1613

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2020-1632

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2020-1617

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2020-1626

  • Juniper Networks Junos OS Evolved.

Vulnerabilidad CVE-2020-1627

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2020-1634

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2020-1638

  • Juniper Networks Junos OS.
  • Juniper Networks Junos OS Evolved.

Vulnerabilidad CVE-2020-1639

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2020-1633

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2020-1637

  • Juniper Networks SRX Series.

Vulnerabilidad CVE-2019-1618

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2019-1625

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2019-1619

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2019-1629

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2019-1616

  • Networks Juniper Advances Threat Prevention (JATP).
  • Virtual Networks Juniper Advances Threat Prevention (vJATP).

Vulnerabilidad CVE-2019-1628

  • Juniper Networks Junos OS.

Vulnerabilidad CVE-2019-1630

  • Juniper Networks Junos OS.

Medidas de erradicación

A continuación, se listan las actualizaciones de seguridad liberadas por Juniper para corregir las vulnerabilidades reportadas en esta alerta:

  • Juniper Networks Junos OS 12.3R12-S11
  • Juniper Networks Junos OS 12.3R12-S15
  • Juniper Networks Junos OS 12.3X48-D86
  • Juniper Networks Junos OS 12.3X48-D90
  • Juniper Networks Junos OS 12.3X48-D95
  • Juniper Networks Junos OS 14.1X53-D51
  • Juniper Networks Junos OS 15.1R7-S6
  • Juniper Networks Junos OS 15.1X49-D181
  • Juniper Networks Junos OS 15.1X49-D190
  • Juniper Networks Junos OS 15.1X53-D592
  • Juniper Networks Junos OS 16.1R4-S13
  • Juniper Networks Junos OS 16.1R7-S6
  • Juniper Networks Junos OS 16.2R2-S10
  • Juniper Networks Junos OS 17.1R2-S11
  • Juniper Networks Junos OS 17.1R3-S1
  • Juniper Networks Junos OS 17.2R1-S9
  • Juniper Networks Junos OS 17.2R3-S3
  • Juniper Networks Junos OS 17.2X75-D110
  • Juniper Networks Junos OS 17.2X75-D44
  • Juniper Networks Junos OS 17.3R3-S6
  • Juniper Networks Junos OS 17.4R2-S6
  • Juniper Networks Junos OS 17.4R3
  • Juniper Networks Junos OS 18.1R3-S7
  • Juniper Networks Junos OS 18.2R2-S5
  • Juniper Networks Junos OS 18.2R3-S1
  • Juniper Networks Junos OS 18.2X75-D12
  • Juniper Networks Junos OS 18.2X75-D33
  • Juniper Networks Junos OS 18.2X75-D411
  • Juniper Networks Junos OS 18.2X75-D420
  • Juniper Networks Junos OS 18.2X75-D60
  • Juniper Networks Junos OS 18.3R1-S5
  • Juniper Networks Junos OS 18.3R1-S6
  • Juniper Networks Junos OS 18.3R2-S1
  • Juniper Networks Junos OS 18.3R2-S3
  • Juniper Networks Junos OS 18.3R3
  • Juniper Networks Junos OS 18.4R1-S4
  • Juniper Networks Junos OS 18.4R1-S5
  • Juniper Networks Junos OS 18.4R2-S1
  • Juniper Networks Junos OS 18.4R3
  • Juniper Networks Junos OS 19.1R1-S2
  • Juniper Networks Junos OS 19.1R2
  • Juniper Networks Junos OS 19.2R1-S1
  • Juniper Networks Junos OS 19.2R2
  • Juniper Networks Junos OS 19.3R1
  • Juniper Networks Junos OS 19.3R2-S2
  • Juniper Networks Junos OS 19.3R3
  • Juniper Networks Junos OS 19.4R1-S1
  • Juniper Networks Junos OS 19.4R2
  • Juniper Networks Junos OS 20.1R1
  • Juniper Networks Junos OS Evolved 19.1R1-EVO
  • Juniper Networks Junos OS Evolved 19.2R1-EVO
  • Juniper Networks Junos OS Evolved 19.3R1-EVO
  • Juniper Networks Junos OS Evolved 19.4R2-EVO
  • Juniper Networks Junos OS Evolved 20.1R1-EVO
  • NFX250 Series versión 19.2R1
  • JATP-OS All-In-One versión 5.0.6.0
  • JATP-OS Core 5.0.6.0

Referencias