Срочные обновления для роутеров Juniper: уязвимость эксплуатируют хакеры-профессионалы
Juniper выпустила экстренные обновления для роутеров на базе JunoOS, в тот же день, когда эксперты Mandiant опубликовали сведения об атаках на них, предпринимавшихся с середины прошлого года
Одним днем
Компания Juniper оперативно отреагировала на известия об уязвимости в своих продуктах, которую (предположительно) китайские хакеры эксплуатировали для установки бэкдоров на роутеры.
Сама по себе уязвимость CVE-2025-21590 представляет собой ошибку некорректной изоляции или сегментации. Степень угрозы оценивается в 6,7 балла по шкале CVSS. Успешная эксплуатация может позволить локальным злоумышленникам с высокими привилегиями запустить произвольный код на уязвимых роутерах и нарушить целостность программных компонентов на них.
Информацию о «баге» в Juniper передал эксперт по информационной безопасности компании Amazon Матео Мемелли (Matteo Memelli).
«Как минимум один случай злонамеренной эксплуатации (не в Amazon) стал известен экспертам Juniper SIRT. Клиентам рекомендовано обновиться до последнего релиза с исправленной уязвимостью, как только он станет доступен, а до того - принять меры по минимизации риска», - говорится во внеочередном бюллетене Juniper.
В качестве промежуточной меры предлагается ограничить шелл-доступ к консоли управления для всех, кроме доверенных пользователей.
«Обращает на себя внимание тот факт, что сама по себе уязвимость не относится ни к критическим, ни к высокоопасным, но атакующая сторона все равно смогла ее использовать для компрометации целевых инфраструктур», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Шкала CVSS - это, по большому счету, рекомендательный ориентир, и то, что уязвимость отнесена к среднему уровню опасности, не означает, что он не может стать критическим».
Слишком серьезно для «среднего уровня»
Уязвимость затрагивает роутеры следующих серий: NFX-Series, Virtual SRX, SRX-Series Branch, SRX-Series HE, EX-Series, QFX-Series, ACX, MX-Series. Исправления вносят версии 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 24.2R1-S2, 24.2R2 и 24.4R1 (все последующие версии тоже будут защищены от этой уязвимости).
CISA внесла уязвимость в список активно эксплуатируемых, что означает предписание госучреждениям США установить все необходимые обновления в ближайшее время (к 3 апреля).
Бюллетень Juniper вышел одновременно с публикацией экспертов ИБ-фирмы Mandiant, в которой указывалось, что предположительно китайские хакеры использовали эту уязвимость с середины 2024 года для установки бэкдоров на устаревшие модели роутеров Juniper.
Всего в Mandiant насчитали шесть бэкдоров, которых отличал одинаковый метод коммуникаций с контрольными серверами и присутствие в коде адресов этих серверов.
Исследователи утверждают, что основу всех этих бэкдоров составляет код TINYSHELL, и что «авторство» атак принадлежит кибершпионскому кластеру UNC3886, связанному со спецслужбами КНР. Атаки этого актора отличаются высокой продвинутостью и эффективностью.