CVSSスコアは10.0 Juniper Networksの複数製品に重大な脆弱性：セキュリティニュースアラート

Juniper Networksは複数の製品に重大な脆弱性が存在するとして、緊急アップデートを公開した。脆弱性はCVSSスコア10.0と評価されており、注意が必要だ。

[後藤大地，有限会社オングス]

　Juniper Networksは2024年6月27日（現地時間）、同社の複数製品に存在する重大な脆弱（ぜいじゃく）性に対応した緊急アップデートを公開した。修正された脆弱性はCVE-2024-2973として特定されており、共通脆弱性評価システム（CVSS）のスコアは10.0で深刻度は「緊急」（Critical）に分類されているため注意が必要だ。

CVSSスコアは10.0　Juniperの複数製品に重大な脆弱性

　脆弱性の影響を受ける製品とプラットフォームは以下の通りだ。

• Session Smart Router（SSR）

• 5.6.15より前の全てのバージョン
• 6.0から6.1.9-ltsより前のバージョン
• 6.2から6.2.5-stsより前のバージョン
• Session Smart Conductor

• 5.6.15より前の全てのバージョン
• 6.0から6.1.9-ltsより前のバージョン
• 6.2から6.2.5-stsより前のバージョン
• WAN Assurance Router

• 6.1.9-ltsより前の6.0バージョン
• 6.2.5-stsより前の6.2バージョン

　この脆弱性の影響を受けるのは、高可用性冗長構成で実行されているルーターやコンダクターのみとされている。脆弱性が悪用された場合、API認証がバイパスされ、デバイスを完全に制御されてしまう可能性がある。Juniper Networksの社内セキュリティテストおよび調査中に発見された欠陥とされ、現時点でこの脆弱性を悪用した攻撃は確認されていない。

　Session Smart Routerに対しては5.6.15、6.1.9-lts、6.2.5-stsにアップデートすることが推奨されている。Session Smart Conductorで管理している場合は、Conductorノードをアップグレードすることで接続されている全てのルーターに修正が自動的に適用される。「Juniper Mist」に接続されたWAN Assurance Routerに関しては自動的に修正が適用されるため、手動のアップデートは不要とされている。

　この問題に対する既知の回避策はないと報告されており、影響を受ける可能性がある場合は速やかに最新バージョンにアップデートすることが唯一の対策となる。該当製品を使用しているユーザーは迅速にアップデートを適用することが強く推奨されている。