Juniper Networks 发布230多项安全漏洞

关键要点

• Juniper Networks 发布了关于230多个漏洞的安全建议，受到了网络安全界的高度赞扬。
• 约200个漏洞影响第三方组件，潜在被利用进行分布式拒绝服务（DDoS）攻击。
• 三个漏洞被评为严重，但目前没有证据表明它们已在实际环境中被利用。
• 推荐用户尽快升级相关系统以减少风险。

Juniper Networks本周发布了关于230多个漏洞的安全公告，网络安全专业人士指出，其中约200个漏洞对第三方组件产生影响。该网络技术供应商修复了约二十个漏洞，这些漏洞都有可能被用于分布式拒绝服务（DDoS）攻击。这也是为什么网络安全与基础设施安全局（CISA）发布了关于这些补丁的通告，并提供了指向

的链接。值得注意的是，仅有三个漏洞被评为“严重”，并且没有迹象表明这些漏洞在实际环境中被利用。

Juniper 最近披露的安全建议涵盖了28个独立的
，以及四项建议的额外203个CVE，Gluware的安全副总裁 Tim Silverline 解释说。Silverline 表示，曝光的漏洞的平均CVSS评分约为7.0。

Silverline 进一步指出，大多数漏洞与 DDoS相关，这意味着攻击者可能通过锁定设备或强制重启来干扰服务。他补充说：“它们似乎都不是远程代码执行（RCE）漏洞，这限制了潜在影响，尽管一些漏洞可能允许系统写入任意文件，这可能后来被用于通过串联多个漏洞协调
RCE 攻击。”

Silverline 提到，正如任何漏洞披露一样，客户应该考虑升级所有受影响的系统，但在这种情况下，尤其需要集中解决三项主要的多重漏洞披露：将
Contrail Cloud 升级到 13.7.0，Junos Space 升级到 22.3R1，以及将 Contrail ServiceOrchestration 升级到 6.3.0。Silverline 表示，这三项措施将减轻201个已披露的漏洞和所有那些允许写入任意文件的漏洞的影响。

ThreatModeler 的首席技术官 John Steven提到，安全专家可以预见到供应商会越来越多地采取这样的行为，尤其是在最近关于软件物料清单和第三方风险的监管压力加大之后。Steven指出，如果其代码库中有很多开源软件（OSS），那么在这些地方发现大多数缺陷并不奇怪——一旦他们开始深入挖掘这些问题。

Steven 进一步表示：“有趣的是，监管可能如何改变开源安全的态度以及如何实现这一点。成熟的安全供应商是否需要更大的参与度来维护关键的 OSS框架，以确保其产品的安全？显然，并非所有的 OSS 维护者都有足够的带宽或专业知识来应对即将到来的修复请求洪流。问题是：是否会提供帮助并被接受？”

Coalfire 的副总裁 Andrew Barratt还补充说，尽管安全建议的数量庞大，但这可能反映了一种成熟的流程，尤其是考虑到已经评估的第三方组件的深度。Barratt表示，信息安全社区通常会对安全供应商发布问题目录时做出强烈反应，但集体应开始为他们认真对待这一过程而鼓掌。

Barratt 还提到：“许多供应商在安全问题上反应不佳，然而，Juniper似乎真的为这个过程投入了资源。这是一个很好的例子，值得大型企业在审视他们的业务应用程序时借鉴。所有他们用来创造价值的工具，可能都隐藏着许多第三方问题，而这些问题只会通过一个好的应用安全程序被发现。”