주니퍼 네트웍스(Juniper Networks)는 네트워크 보안 업계에서 가장 오래되고 유명한 엔터프라이즈 공급 업체로, 특히 주니퍼 SRX 방화벽 시리즈는 차세대 방화벽으로 잘 알려져 있다. 이렇게 역사와 인기가 오래된 장비일수록 많은 사람들에게 널리 사용되기 때문에, 전 세계 많은 기업들의 사내망에서는 주니퍼 장비를 흔하게  볼 수 있다. 

주니퍼 네트웍스 사용자들은 방화벽이나 장비에 접근하기 위해 전용 OS인 Junos OS 의 J-Web 을 사용하는데, J-Web은 PHP 기반의 웹 콘솔이며 브라우저로 접속할 수 있다. 최근 주니퍼 네트웍스는 J-Web 과 연관된 네 가지 취약점(CVE-2023-36844CVE-2023-36845CVE-2023-36846CVE-2023-36847)을 발표했다. 이 취약점들 각각의 CVSS 점수는 5점 대에 불과해 언뜻 보면 위험하지 않을 것 같지만, 이 취약점들을 결합하면 연쇄반응으로 RCE(Remote Code Execution, 원격코드실행)공격까지 가능한 매우 심각한 취약점이다. CVSSv3 내에서 이 취약점의 통합 등급은 9.8점을 받았다.

RCE 취약점에 노출되어있는 J-Web 주니퍼 방화벽 관리 시스템
RCE 취약점에 노출되어있는 J-Web 주니퍼 방화벽 관리 시스템

주니퍼 방화벽 및 스위치에 영향을 주는 버그 체인

주니퍼 네트웍스 장비 중 EX 시리즈는 스위치를 말하고, SRX 시리즈는 방화벽을 말한다. 이번에 공개된 취약점들은 이 두 가지 플랫폼에 아래와 같이 영향을 미친다.

  • CVE-2023-36846 및 CVE-2023-36847(CVSS 점수: 5.3) – EX 시리즈 및 SRX 시리즈의 Juniper Networks Junos OS에 있는 중요한 기능에 대한 2개의 인증 누락 취약점. 이로 인해 인증되지 않은 네트워크 기반 공격자가 시스템에 제한된 영향을 미칠 수 있다.
  • CVE-2023-36844 및 CVE-2023-36845(CVSS 점수: 5.3) – EX 시리즈 및 SRX 시리즈의 Juniper Networks Junos OS J-Web에 있는 두 가지 PHP 외부 변수 수정 취약점. 이러한 취약점으로 인해 인증되지 않은 네트워크 기반 공격자가 중요한 특정 환경 변수를 제어할 수 있다.  

CVE-2023-36846 및 CVE-2023-36847(CVSS 점수 5.3)은 J-Web 을 통해 공격자가 임의의 파일을 업로드 할 수 있는 취약점이다. 하지만 파일 업로드가 될 뿐 추가적인 문제는 발생하지 않기 때문에 CVSS 5.3점으로 높지 않은 점수를 부여 받았다.  다음으로 CVE-2023-36844 및 CVE-2023-36845(CVSS 점수: 5.3)은 PHP 의 외부 변수를 수정할 수 있는 취약점이다. 이 역시 PHP 설정을 변경하더라도 시스템에 큰 영향을 미치기 어려우며, CVSS 5.3점을 부여 받았다.

개별 취약점은 5점 대의 중간 레벨이며 독립적으로 존재하는 한 큰 위협은 되지 않는다. 하지만 첫 번째 취약점으로 임의의 파일을 업로드하고, 두 번째 취약점으로 업로드한 파일과 연관된 PHP 속성을 변경하면 버그 체인으로 서로 융합되면서 RCE 효과를 낼 수 있다. 이렇게 결함을 결합하는 데 성공하면 공격자는 인증되지 않은 네트워크 기반에서 원격으로 코드를 실행할 수 있게 된다. 이 때문에 CVSS 점수 5점 대의 CVE가 9점대로 상승된 것이다.

온라인에 노출된 10만 개 이상의 주니퍼 방화벽

주니퍼 방화벽과 같은 주니퍼 네트웍스의 제품들은 이미 공격 표면에 많이 노출되어 있다.
Criminal IP의 Asset Search에 주니퍼 네트웍스 J-Web 에 사용되는 웹 서버 title을 검색하면 온라인에 노출된 서버를 찾을 수 있다.

Search Query: title: Juniper Web Device Manager

주니퍼 방화벽 : Criminal IP Asset Search에 검색된 온라인에 노출되어있는 19만 개 이상의 주니퍼 장치
Criminal IP Asset Search에 검색된 온라인에 노출되어있는 19만 개 이상의 주니퍼 장치

검색 결과를 보면, 19만 개 이상의 주니퍼 네트웍스의 J-Web이 온라인에 노출되어 있는 것을 알 수 있다. RCE 버그 체인 취약점의 익스플로잇이 공개된 지금, 접근하기 쉽게 노출되어 있는 이 서버들은 가장 빠르게 해커들의 공격 타겟이 될 가능성이 높다.

주니퍼 방화벽 : 검색된 IP 주소의 열린 포트 정보. TCP 443 포트에서 J-Web이 가동되고 있다
검색된 IP 주소의 열린 포트 정보. TCP 443 포트에서 J-Web이 가동되고 있다

주니퍼 네트웍스는 예전부터 많은 취약점에 시달려왔고, 공격자들은 이 취약점을 꾸준히 악용하고 있다. 이 점을 이용해 주니퍼 네트웍스를 가장한 허니팟도 많이 존재한다.
아래와 같은 IP 주소는 총 488개의 포트가 열려 있고, 그 중에는 주니퍼 네트웍스의 J-Web 을 가장한 웹 데몬도 가동되고 있다. (이 허니팟의 IP 주소에는 포티넷, 팔로알토 등의 웹 콘솔 데몬도 가동되고 있다.)

온라인에 노출된 J-Web 서버에 섞여있는 허니팟 서버 IP 주소 정보
온라인에 노출된 J-Web 서버에 섞여있는 허니팟 서버 IP 주소 정보

RCE 취약점 해결 방법, CISA가 강조한 공격 표면 줄이기

2023년 6월 CISA는 미국 연방 기관에 주니퍼 방화벽 및 스위치 장치와 같이 인터넷에 노출되거나 잘못 구성된 네트워킹 장비에 대해 발견 후 2주 이내에 보호하라는 올해 첫 번째 구속력 있는 운영 지침(BOD)을 내렸다. CISA 는 “이 지침은 연방민간행정부(FCEB) 기관이 ​​특정 장치 전반에 대해 안전하지 않거나 잘못 구성된 관리 인터페이스로 인해 발생하는 공격 표면을 줄이기 위한 조치를 취하도록 요구한다” 라고 밝힌 바 있다. 

CISA가 미국 연방 기관에 내린 노출된 공격 표면을 관리하라는 운영 지침
CISA가 미국 연방 기관에 내린 노출된 공격 표면을 관리하라는 운영 지침

주니퍼 방화벽 및 스위치 버그 체인 익스플로잇에 예방하는 방법은 CISA의 운영 지침을 그대로 반영하면 된다. 

사용 중인 J-Web 인터페이스를 비활성화 하거나 접근을 제한하는 것이다. 기업 또는 기관에서 사용하는 방화벽, 스위치와 같은 장비는 외부에서 접근할 수 없도록 철저히 외부 인터넷 노출 접점을 없애야 한다.
물론 영향을 받는 장치를 실행하는 사용자는 최대한 빨리 패치 버전으로 업데이트하는 것이 중요하다.

관련하여 심각한 패치 지연으로인해 익스플로잇 가능한 포티게이트 방화벽이 4.6천 개 이상 노출된 CVE-2023-27997 취약점에 대한 글을 참고할 수 있다.

이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다.
지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.

데이터 출처: Criminal IP(https://www.criminalip.io/ko)

관련 글: 

CVE-2023-27997 심각한 패치 지연, 익스플로잇 가능한 포티게이트 방화벽 4.6천 개 이상