BDU:2023-07228: Уязвимость операционной системы Juniper Networks Junos OS маршрутизаторов серий SRX, связанная с ошибками при проведении авторизации, позволяющая нарушителю обойти правила Juniper Deep Packet Inspection (JDPI)
Детали уязвимости BDU:2023-07228
Описание
Уязвимость операционной системы Juniper Networks Junos OS маршрутизаторов серий SRX связана ошибками при проведении авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти правила Juniper Deep Packet Inspection (JDPI)
Что делать с BDU:2023-07228
Критическая уязвимость (CVSS 9.8) требует немедленного реагирования. По приказу ФСТЭК №117 срок устранения — 24 часа. Проверьте наличие патча у вендора и установите его на все затронутые системы. При невозможности патча — изолируйте уязвимый компонент и примените компенсирующие меры.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:N/C:C/I:C/A:CCWE — тип уязвимости
CVE — международный идентификатор
Механизм авторизации реализован с ошибкой. Позволяет доступ к чужим данным или привилегированным функциям.
Как атакуют и что делать ▾
Сценарий атаки
Авторизация проверяется, но с ошибкой: IDOR — пользователь меняет /api/order/123 на /api/order/456 и видит чужой заказ.
Последствия
Доступ к чужим данным, горизонтальное повышение привилегий.
Рекомендации
Проверяйте владельца ресурса на сервере, используйте UUID вместо sequential ID.
Тактики и техники
Уязвимое ПО (15)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Juniper Networks Inc. | JunOS | от 20.2 до 20.2R3-S2 | SRX Series |
| Juniper Networks Inc. | JunOS | от 20.4 до 20.4R3 | SRX Series |
| Juniper Networks Inc. | JunOS | от 18.4 до 18.4R3-S10 | SRX Series |
| Juniper Networks Inc. | JunOS | от 19.2 до 19.2R3-S4 | SRX Series |
| Juniper Networks Inc. | JunOS | от 20.3 до 20.3R3-S1 | SRX Series |
| Juniper Networks Inc. | JunOS | от 21.2 до 21.2R2 | SRX Series |
| Juniper Networks Inc. | JunOS | от 19.1 до 19.1R3-S8 | SRX Series |
| Juniper Networks Inc. | JunOS | от 19.3 до 19.3R3-S3 | SRX Series |
| Juniper Networks Inc. | JunOS | от 19.4 до 19.4R3-S5 | SRX Series |
| Juniper Networks Inc. | JunOS | от 20.1 до 20.1R3-S1 | SRX Series |
| Juniper Networks Inc. | JunOS | от 21.1 до 21.1R3 | SRX Series |
| Juniper Networks Inc. | JunOS | от 18.4 до 18.4R2-S10 | SRX Series |
| Juniper Networks Inc. | JunOS | от 19.2 до 19.2R1-S8 | SRX Series |
| Juniper Networks Inc. | JunOS | от 20.4 до 20.4R2-S2 | SRX Series |
| Juniper Networks Inc. | JunOS | от 21.1 до 21.1R2-S2 | SRX Series |
Среды функционирования (15)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Juniper Networks Inc. | JunOS | от 20.2 до 20.2R3-S2 | SRX Series |
| Juniper Networks Inc. | JunOS | от 20.4 до 20.4R3 | SRX Series |
| Juniper Networks Inc. | JunOS | от 18.4 до 18.4R3-S10 | SRX Series |
| Juniper Networks Inc. | JunOS | от 19.2 до 19.2R3-S4 | SRX Series |
| Juniper Networks Inc. | JunOS | от 20.3 до 20.3R3-S1 | SRX Series |
| Juniper Networks Inc. | JunOS | от 21.2 до 21.2R2 | SRX Series |
| Juniper Networks Inc. | JunOS | от 19.1 до 19.1R3-S8 | SRX Series |
| Juniper Networks Inc. | JunOS | от 19.3 до 19.3R3-S3 | SRX Series |
| Juniper Networks Inc. | JunOS | от 19.4 до 19.4R3-S5 | SRX Series |
| Juniper Networks Inc. | JunOS | от 20.1 до 20.1R3-S1 | SRX Series |
| Juniper Networks Inc. | JunOS | от 21.1 до 21.1R3 | SRX Series |
| Juniper Networks Inc. | JunOS | от 18.4 до 18.4R2-S10 | SRX Series |
| Juniper Networks Inc. | JunOS | от 19.2 до 19.2R1-S8 | SRX Series |
| Juniper Networks Inc. | JunOS | от 20.4 до 20.4R2-S2 | SRX Series |
| Juniper Networks Inc. | JunOS | от 21.1 до 21.1R2-S2 | SRX Series |
Рекомендации по устранению
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - удалите настройку "security flow tcp-session no-syn-check" из конфигурации. - включите настройку кэша AppID: set services application-identification application-system-cache security-services Использование рекомендаций производителя: https://kb.juniper.net/JSA11265
SLA ФСТЭК №117
24 часа
по базовой оценке CVSS 9.8
Уточните SLA под вашу среду
Базовый балл 9.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Приоритетное устранение
Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2021-12-28
Опубликована
2023-10-28
Обновлена
2023-10-28
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
BDU:2026-01769Уязвимость системного демона chassisd операционной системы Juniper Networks Junos маршрутизаторов серий MX, SRX и EX, по
BDU:2026-00585Уязвимость операционной системы Junos OS маршрутизаторов серии SRX, связанная с некорректной блокировкой ресурсов, позво
BDU:2026-00584Уязвимость операционной системы Junos OS маршрутизаторов серии SRX, связанная с неправильной проверкой синтаксической ко
BDU:2026-00458Уязвимость демона обработки потоков flowd операционных систем Juniper Networks Junos OS для межсетевых экранов серии SRX
BDU:2026-00600Уязвимость демона Routing Protocol Daemon (RPD) операционных систем Juniper Networks Junos OS и Junos OS Evolved, позвол
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.