【Juniper Networks】OSバージョンと脆弱性について

はじめに

Juniper Networks社のJunos OSについて、バージョン選定と脆弱性に関する複数のお問い合わせを頂きました。今回の記事ではメーカー公式のアナウンスと、筆者の考え方をお送りさせて頂きます。

Juniper Networksの推奨バージョン

Junos OSのSuggested Releasesは以下のURLでモデル毎に公開されており、随時更新されています。

CEC Juniper Community

https://supportportal.juniper.net/s/article/Junos-Software-Versions-Suggested-Releases-to-Consider-and-Evaluate?language=en_US

supportportal.juniper.net

※直近の脆弱性や不具合について個別の反映が追い付いていない場合がありますので、必ずRelease NotesやKnowledge Base (KB)などを確認しましょう。

また、ハードウェアモデルとJunos OSの組み合わせで使用できる機能は、Feature Explorerから照会が可能です。

Feature Explorer | Juniper Networks Pathfinder

https://apps.juniper.net/feature-explorer/

Find the software features that run on your hardware platforms and Junos OS & Junos OS Evolved releases.

apps.juniper.net

お問い合わせを頂いた脆弱性

CVE-2024-21591

今回の記事を執筆するきっかけとなったものですが、2024年1月10日にCVSS:3.1で9.8のスコアとなった脆弱性（CVE-2024-21591）が公開されました。J-Web（http/httpsでのGUI管理画面）に起因する問題で、DoSやリモートコード実行を引き起こされ、最終的にはOSの権限を攻撃者が取得出来てしまうものです。

CEC Juniper Community

https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Security-Vulnerability-in-J-web-allows-a-preAuth-Remote-Code-Execution-CVE-2024-21591?language=en_US

supportportal.juniper.net

CVE-2024-21611

また、同日にCVSS:3.1で7.5のスコアとなった脆弱性（CVE-2024-21611）も公開されました。
J-Flowを有効にしている環境でのみ該当するものですが、rpd（ルーティングプロトコルデーモン）のメモリが解放されない不具合であり、攻撃者によってDoSやリモートコード実行を引き起こされる恐れがあります。また、J-FlowとBGPの動作に関連してゆっくりとしたメモリリークが発生し、最終的にはrpdがクラッシュして再起動してしまう、動作上の重要な問題が含まれています。

CEC Juniper Community

https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-In-a-jflow-scenario-continuous-route-churn-will-cause-a-memory-leak-and-eventually-an-rpd-crash-CVE-2024-21611?language=en_US

supportportal.juniper.net

当社にお問い合わせを頂いたケース

これらについて、弊社へお問い合わせを頂いたケースは、「CVE-2024-21591が未対応なリリースで運用されていることが、エンドユーザー様内の脆弱性監査で発見された」事例、「J-Flowでトラフィック解析の運用を開始したことでメモリリークが発生し、メモリ使用率が通常と異なる値を示して上昇し続けているために監視機構で発見され、CVE-2024-21611への該当が確認された」事例でした。

いずれについても、脆弱性が攻撃の対象となったり、意図しない運用停止が発生するなどの実害が発生する状況へは至らずに、メンテナンス時間を伴うバージョンアップによって解消されました。しかし、バージョンアップや動作停止を伴わない有効なWorkaroundが存在しないため、対象となる機能を使用してJunos OSを運用されている場合、解消に向けた早急な計画を実施お勧めいたします。

※予めホームページへの掲載許可を頂いた事例のみを記載しています。

ライフサイクル

Junos OSのは各バージョンの最初のリリース日を基準として
→EOE（End of Engineering）：エンジニアリング終了
→EOS（End of Support）：サポート終了
と推移するため、EEOL（Extended End of Life）なバージョンでも、最長で5年と6ヶ月間のライフサイクルとなります。

Junos OS Dates & Milestones - Juniper Networks

https://support.juniper.net/support/eol/software/junos/

support.juniper.net

バージョンの選定と更新頻度

本書の執筆時点（2024年8月26日）では、多くのブランチ環境で利用されているSRX300シリーズ（SRX300、SRX320、SRX340、SRX345、SRX380）の推奨バージョンは「Junos 22.4R3-S2」となっています。しかし、このJunos OS 22.4が初めて推奨リリースとなったのは2024年8月9日であり、これ以前はJunos OS 21.4のリリースとなっていました。

この経過をライフサイクルと合わせると、以下のようになります。

つまり、「推奨されるバージョン」かつ「エンジニアリングが行われている」を満たすバージョンとして使用できる期間は最大でも1年4ヶ月程度、「エンジニアリングが終了した後、サポートが終了するまでの期間」とする場合でも、2年間に満たないことになります。
このため、あらゆるネットワークデバイスに共通することですが、製造元の脆弱性対策を含む技術サポートが必要とならない特殊なケースを除いて、定常的にバージョン管理と更新の計画を定めて運用することを筆者としては強く推奨しています。

まとめ

いかがだったでしょうか。

今回の記事で取り上げさせて頂いた以前（2023年8月）にも、J-Webに関連するクリティカルな脆弱性（CVE-2023-36845）がありました。同時期にCisco Ssytems社でもIOS-XEのWeb UIにで脆弱性（CVE-2023-20198、CVE-2023-20273）があり、これらはいずれも実際に攻撃者による被害が発生しています。

しかし、実際に攻撃者による被害が発生してしまったケースの多くは、脆弱性の対象箇所（http/https）に対して、外部の広域ネットワークからアクセスが可能な状態となっているものでした。

• ・Webブラウザを使用したGUIでの管理機構が不要な場合は、サービスを無効化する
• ・運用に必要な場合も限られた信頼できるネットワークからのアクセスに限定する
• ・SSLなどについても、同様に信頼できるアクセス元に限定する
• ・管理アクセスにhttpやtelnetなどの非暗号化プロトコルを使用しない
• ・SNMPは信頼するホスト（サブネット）のみに限定する

上記のような管理機構に対する基本的なセキュリティを徹底するだけでも、今回のような脆弱性によるリスクを限定的にすることができるものですが、様々な事由によって十分でない環境が多く存在しています。

筆者個人の感覚ですが、特にSMBなどで運用や管理に十分な見識を備えた技術者がアサインされていない、または稼働しているOSバージョンと設定値を継続使用することを単純に良しとして、「ネットワークを現状維持する考え方」を誤って解釈してしまっているなどの、適切な運用管理がされていない環境がこの状態に該当しているかと思います。

実際に被害が発生してしまう前に今一度、既知の脆弱性が存在しないか、そして基本的なセキュリティが徹底されているかを見直されてみてはいかがでしょうか。

この記事が、ご覧いただいた皆様へ少しでもお役に立てば幸いです。

• ※この記事は筆者個人の見解によるものであり、各メーカー様や当社としての意見や見解を示すものではありません。
• ※この記事に含まれる情報については、その内容について当社として何らの保証をするものではありません。
• ※この記事に含まれる情報を利用したことに起因する、利用者又は第三者が被る直接的及び間接的損害に関して、当社はその責任を一切負いません。

• ← 前の記事に戻る
• 一覧に戻る
• 次の記事に進む →