网络管理员需要立即对瞻博网络PTX系列路由器进行补丁更新,因为新发现的一个严重漏洞可能让未经认证的威胁行为者以root权限运行代码。
Tuskira公司首席执行官Piyush Sharma表示:"这个漏洞特别危险,因为这些设备通常位于网络核心位置,而不是边缘。如果攻击者获得PTX的控制权,影响远超单一设备的入侵,因为它可以同时成为流量监控点和控制点。这为秘密拦截数据流、重定向流量控制或轻松渗透到相邻网络打开了大门。"
该问题影响运行早于25.4R1-S1-EVO和25.4R2-EVO版本的Junos OS Evolved操作系统的PTX路由器。标准Junos OS不受影响。
瞻博网络在公告中表示,目前尚未发现此漏洞被恶意利用的情况。该漏洞是在内部产品安全测试或研究中发现的。
PTX系列是一系列模块化高性能核心路由器,由HPE瞻博网络的最新一代定制Express系列ASIC芯片驱动,针对400G和800G迁移进行了优化。它们提供原生400G和800G内联MACsec、深度缓冲和灵活过滤功能。该公司表示,这些路由器专为在要求严苛的广域网和数据中心使用场景中长期使用而设计,包括核心、对等互联、数据中心互连、数据中心边缘、城域聚合和AI数据中心网络等部署场景。
瞻博网络在公告中说明,操作系统的设备内异常检测框架存在关键资源权限分配错误漏洞,允许未经认证的网络攻击者以root权限执行代码。该检测框架默认处于启用状态。
公告补充道:"设备内异常检测框架应该只能通过内部路由实例被其他内部进程访问,而不应该通过外部暴露的端口访问。通过访问和操纵该服务以root权限执行代码,远程攻击者可以完全控制设备。"
要解决此问题,管理员应确保安装Junos OS Evolved的25.4R1-S1-EVO版本。他们还应注意25.4R2-EVO和26.2R1-EVO版本即将发布。
如果无法立即安装更新,管理员应使用访问控制列表或防火墙过滤器,仅限受信任的网络和主机访问,以降低此问题被利用的风险。确保此类过滤器只允许明确需要的连接,阻止所有其他连接。
另一个选择是通过在操作系统命令行中输入"request pfe anomalies disable"来禁用该服务。
Sharma表示,多年来瞻博网络的漏洞吸引了大量黑客关注,因为如果建立长期立足点,路由器能提供优势地位。"作为网络操作系统,Junos位于身份、策略和流量等主要控制点的交叉路口,这意味着单一漏洞可以快速扩散到有价值的网络中。此外,这些立足点为攻击者提供了更长的时间窗口来查找和利用易受攻击的设备,因为核心网络设备由于需要长时间停机而难以应用补丁。"
他补充说,为防止当前缺陷等漏洞被利用,组织需要一个能够持续监控网络异常并在检测到恶意行为时警告安全团队的防护平台。
该漏洞的披露正值瞻博网络的母公司HPE准备在下周的世界移动通信大会上推出新的PTX12000和PTX10002路由器系列。HPE去年收购了瞻博网络。
Q&A
Q1:PTX路由器的这个安全漏洞有多严重?
A:这是一个严重的安全漏洞,允许未经认证的攻击者以root权限执行代码并完全控制设备。由于PTX路由器通常位于网络核心位置,攻击者一旦获得控制权,可以监控和重定向网络流量,甚至渗透到相邻网络,影响范围远超单一设备。
Q2:哪些瞻博网络设备会受到这个漏洞影响?
A:该漏洞影响运行早于25.4R1-S1-EVO和25.4R2-EVO版本的Junos OS Evolved操作系统的PTX系列路由器。标准Junos OS不受此漏洞影响。PTX系列是瞻博网络的高性能核心路由器产品线。
Q3:如何修复这个PTX路由器安全漏洞?
A:首要解决方案是将Junos OS Evolved更新到25.4R1-S1-EVO版本。如果无法立即更新,可以使用访问控制列表或防火墙过滤器限制只有受信任的网络和主机才能访问,或者通过命令行输入"request pfe anomalies disable"来禁用异常检测服务。
热门跟贴