Aktívne zneužívaná zraniteľnosť v operačnom systéme Juniper Junos OS

Spoločnosť Juniper vydala bezpečnostné aktualizácie pre svoj sieťový operačný systém Junos OS, ktoré opravujú aktívne zneužívanú zraniteľnosť. CVE-2025-21590 by lokálny útočník s prístupom k shell-u mohol zneužiť na obídenie bezpečnostného mechanizmu Veriexec, vykonanie škodlivého kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

  • Junos OS vo všetkých verziách starších ako 21.2R3-S9
  • Junos OS 21.4 vo verziách starších ako 21.4R3-S10
  • Junos OS 22.2 vo verziách starších ako 22.2R3-S6
  • Junos OS 22.4 vo verziách starších ako 22.4R3-S6
  • Junos OS 23.2 vo verziách starších ako 23.2R2-S3
  • Junos OS 23.4 vo verziách starších ako 23.4R2-S4
  • Junos OS 24.2 vo verziách starších ako 24.2R1-S2, 24.2R2

Pozn.: Zneužitie zraniteľnosti vyžaduje lokálny prístup k shell-u a nie je ju možné zneužiť prostredníctvom Junos CLI.

Opis zraniteľnosti:

CVE-2025-21590 (CVSS 4.0 skóre: 6,7)

Nesprávne overovanie pôvodu súborov a nedostatočnú izoláciu procesov možno injekciou kódu do legitímnych procesov zneužiť na obídenie zabudovaného bezpečnostného mechanizmu Veriexec, ktorý na Junos OS umožňuje len spustenie kódu podpísaného výrobcom. CVE-2025-21590 by lokálny autentifikovaný útočník s prístupom k shell-u mohol zneužiť na vykonanie škodlivého kódukompromitáciu zariadenia.

Bezpečnostní výskumníci z Google Mandiant zverejnili informácie o aktivitách čínskej kyberspionážnej skupiny UNC3886, ktorá sa dlhodobo zameriava na kompromitáciu virtualizačných platforiem a sieťových prvkov. Na prienik do systémom primárne zneužíva zero-day zraniteľnosti. UNC3886 v aktuálnej kampani na prvotný prienik do zariadení s Junos OS zneužívajú uniknuté prihlasovacie údaje a následne zraniteľnosť CVE-2025-21590 na vykonanie škodlivého kódu. Zariadenia sú infikované až 6 variantmi open-source backdooru TinyShell. Každý variant na maskovanie svojej činnosti používa iné C2 a inú metódu riadiacej komunikácie.

Možné škody:

  • Obídenie bezpečnostného prvku
  • Vzdialené vykonanie kódu

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov s Junos OS na verzie 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2 alebo 24.2R2.

Spoločnosť Juniper po aktualizácii systémov odporúča vykonať Quick Scan a Integrity Scan zariadení prostredníctvom nástroja JMRT (Juniper Malware Removal Tool), do ktorého boli v súvislosti s aktívnym zneužitím tejto zraniteľnosti pridané špeciálne detekčné signatúry.

Taktiež odporúčame preveriť prítomnosť indikátorov kompromitácie v logoch sieťových a bezpečnostných prvkov.

Indikátory kompromitácie:

IP adresy C2 serverov:

  • 8[.]222[.]225[.]8:22
  • 45[.]77[.]39[.]28:22
  • 101[.]100[.]182[.]122:22
  • 116[.]88[.]34[.]184:22
  • 118[.]189[.]188[.]122:22
  • 129[.]126[.]109[.]50:22
  • 158[.]140[.]135[.]244:22
  • 223[.]25[.]78[.]136:22

SHA256 hashe backdoor malwaru:

  • 98380ec6bf4e03d3ff490cdc6c48c37714450930e4adf82e6e14d244d8373888
  • 5bef7608d66112315eefff354dae42f49178b7498f994a728ae6203a8a59f5a2
  • c0ec15e08b4fb3730c5695fb7b4a6b85f7fe341282ad469e4e141c40ead310c3
  • 5995aaff5a047565c0d7fe3c80fa354c40e7e8c3e7d4df292316c8472d4ac67a
  • 905b18d5df58dd6c16930e318d9574a2ad793ec993ad2f68bca813574e3d854b
  • e1de05a2832437ab70d36c4c05b43c4a57f856289224bbd41182deea978400ed
  • 3751997cfcb038e6b658e9180bc7cce28a3c25dbb892b661bcd1065723f11f7e
  • 7ae38a27494dd6c1bc9ab3c02c3709282e0ebcf1e5fcf59a57dc3ae56cfd13b4

YARA pravidlá pre host-based a Snort/Suricata pravidlá pre sieťovú detekciu môžete nájsť na webovej stránky Google Mandiant.

Zdroje: