Juniper: 28 Sicherheitsmitteilungen zu Schwachstellen veröffentlicht

Juniper Networks hat am Mittwoch dieser Woche insgesamt 28 Sicherheitsmitteilungen herausgegeben. Der Hersteller behandelt darin Schwachstellen in diversen Appliances und den Betriebssystemen – bis hin zum Schweregrad „kritisch“.

IT-Verantwortliche sollten prüfen, ob sie die anfälligen Geräte und zugehörige Software einsetzen und zeitnah die bereitgestellten Aktualisierungen anwenden. Das Spektrum der Sicherheitslücken und ihrer Auswirkungen ist breit: Angreifer können etwa Schadcode einschleusen und ausführen, ihre Rechte ausweiten, Denial-of-Service-Attacken starten, Sicherheitsmaßnahmen umgehen oder unbefugt Daten lesen oder gar manipulieren.

Die Suche von Juniper liefert eine Übersicht der jüngsten Sicherheitsmitteilungen der Entwickler. Zum Meldungszeitpunkt stammen die jüngsten 28 Veröffentlichungen vom Mittwoch dieser Woche. Die betroffenen Systeme umfassen Junos OS, Junos OS Evolved, die ACX-, MX-, SRX-Baureihen und Juniper Apstra.

Zwei kritische Sicherheitslücken

Im Juniper Networks Security Director können nicht authentifizierte Angreifer aus dem Netz auf sensible Ressourcen über das Web-Interface zugreifen oder diese manipulieren. „Zahlreiche API-Endpunkte von Juniper-Security-Director-Appliances überprüfen die Authentifizierung nicht und liefern Aufrufern Informationen außerhalb ihres Autorisierungs-Levels aus. Die erhaltenen Informationen lassen sich dazu nutzen, Zugriff auf weitere Informationen zu erhalten oder andere Angriffe auszuführen, die sich auf von der Appliance verwaltete Geräte auswirken“, erklärt Juniper in der Sicherheitsmitteilung (CVE-2025-52950 / kein EUVD, CVSS 9.6, Risiko „kritisch„).

Angreifer in einer Position zwischen Radius-Client und -Server von Junos OS und Junos OS Evolved können die Authentifizierung umgehen. Ursache ist eine unzureichende Prüfung eines Inetgritäts-Prüfwerts und unzureichende Erzwingung von Nachrichtenintegrität auf einem Kommunikationskanal, erörtern Junipers Entwickler (CVE-2024-3596 / EUVD-2024-32175, CVSS 9.0, Risiko „kritisch„).

Die weiteren Sicherheitslücken sind zu einem guten Teil als hohes Risiko eingeordnet, zahlreiche jedoch auch lediglich als mittlerer Bedrohungsgrad. Admins können die Informationen zu den betroffenen Geräten und den diversen Lücken direkt der Übersicht von Juniper entnehmen.

Zuletzt hatte Juniper im April zahlreiche Sicherheitsupdates verteilt. Es waren dort bereits zahlreiche Mitteilungen zu den Schwachstellen – insgesamt 22 Stück.

(dmk)