瞻博网络 (JUNIPER) 发布安全公告,披露了 CVE-2024-2973 漏洞,该漏洞允许攻击者绕过 API 身份验证,获取瞻博网络会话智能路由器的完全控制权。该漏洞的 CVSS 评分为 10 分 / 10 分,危害程度极高。瞻博网络已发布安全固件进行修复,建议使用瞻博企业级路由器的企业立即升级到最新版固件以确保安全。
😔 **严重漏洞:** CVE-2024-2973 允许攻击者绕过瞻博网络会话智能路由器的身份验证,获取完全控制权,无需账号密码即可登录路由器。
🚨 **受影响产品:** Session Smart Router 和 Session Smart Conductor 的多个版本,包括 5.6.15 之前的所有版本、6.0~6.1.9-LTS 版、6.2~6.2.5-sts 版。WAN Assurance Router 的 6.0 系列版本(6.1.9-LTS 之前)和 6.2 系列版本(6.2.5-sts 之前)也受影响。
🛡️ **解决方案:** 瞻博网络已发布安全固件进行修复,建议立即升级到最新版固件。Session Smart Router 需要更新到 SSR-5.6.15、SSR-6.1.9-LTS、SSR-6.2.5-STS 及后续版本。对于使用 Session Smart Conductor 管理的部署,只需要升级 Conductor 节点,修复操作将会自动应用到所有连接的路由器。
⚠️ **重要提示:** 即使更新了 Conductor 节点,路由器仍然应该更新到最新固件,以防止漏洞被利用。
🚀 **安全公告地址:** 2024-06: Out-Of-Cycle Security Bulletin: Session Smart Router (SSR)
企业网络设备制造商瞻博网络 (JUNIPER) 在上周末发布安全公告披露 CVE-2024-2973 安全漏洞的信息,该漏洞为绕过 API 身份验证,CVSS 评分为 10 分 / 10 分。
借助该漏洞攻击者可以绕过瞻博网络会话智能路由器的身份验证,也就是不需要账号密码即可登录路由器并获得完整的控制权。
鉴于此漏洞的危害程度极高因此瞻博网络已经发布安全固件进行修复,使用瞻博企业级路由器的企业需要立即升级到最新版固件确保安全。
受影响的产品及受影响的固件版本:
Session Smart Router:5.6.15 之前的所有版本、6.0~6.1.9-LTS 版、6.2~6.2.5-sts 版Session Smart Conductor: 5.6.15 之前的所有版本、6.0~6.1.9-LTS 版、6.2~6.2.5-sts 版WAN Assurance Router: 6.1.9-LTS 之前的 6.0 系列版本、6.2.5-sts 之前的 6.2 系列版本
解决方案:
Session Smart Router 固件更新到 SSR-5.6.15、SSR-6.1.9-LTS、SSR-6.2.5-STS 及后续版本
在 Session Smart Conductor 管理的部署中,只需要升级 Conductor 节点,修复操作将会自动应用到所有连接的路由器。实际上路由器仍然应该更新到最新固件,只不过连接到升级后的 Conductor 节点后漏洞无法被利用。
安全公告地址:2024-06: Out-Of-Cycle Security Bulletin: Session Smart Router (SSR)
感谢蓝点网网友 颜黎明 投递的消息
限时活动推荐:开搜AI智能搜索免费无广告直达结果、全能播放器VidHub支持挂载网盘云播、阿里云服务器99元/年。
