Aktívne zneužívaná zraniteľnosť v operačnom systéme Juniper Junos OS
Spoločnosť Juniper vydala bezpečnostné aktualizácie pre svoj sieťový operačný systém Junos OS, ktoré opravujú aktívne zneužívanú zraniteľnosť. CVE-2025-21590 by lokálny útočník s prístupom k shell-u mohol zneužiť na obídenie bezpečnostného mechanizmu Veriexec, vykonanie škodlivého kódu a získanie úplnej kontroly nad systémom.
Zraniteľné systémy:
- Junos OS vo všetkých verziách starších ako 21.2R3-S9
- Junos OS 21.4 vo verziách starších ako 21.4R3-S10
- Junos OS 22.2 vo verziách starších ako 22.2R3-S6
- Junos OS 22.4 vo verziách starších ako 22.4R3-S6
- Junos OS 23.2 vo verziách starších ako 23.2R2-S3
- Junos OS 23.4 vo verziách starších ako 23.4R2-S4
- Junos OS 24.2 vo verziách starších ako 24.2R1-S2, 24.2R2
Pozn.: Zneužitie zraniteľnosti vyžaduje lokálny prístup k shell-u a nie je ju možné zneužiť prostredníctvom Junos CLI.
Opis zraniteľnosti:
CVE-2025-21590 (CVSS 4.0 skóre: 6,7)
Nesprávne overovanie pôvodu súborov a nedostatočnú izoláciu procesov možno injekciou kódu do legitímnych procesov zneužiť na obídenie zabudovaného bezpečnostného mechanizmu Veriexec, ktorý na Junos OS umožňuje len spustenie kódu podpísaného výrobcom. CVE-2025-21590 by lokálny autentifikovaný útočník s prístupom k shell-u mohol zneužiť na vykonanie škodlivého kódu a kompromitáciu zariadenia.
Bezpečnostní výskumníci z Google Mandiant zverejnili informácie o aktivitách čínskej kyberspionážnej skupiny UNC3886, ktorá sa dlhodobo zameriava na kompromitáciu virtualizačných platforiem a sieťových prvkov. Na prienik do systémom primárne zneužíva zero-day zraniteľnosti. UNC3886 v aktuálnej kampani na prvotný prienik do zariadení s Junos OS zneužívajú uniknuté prihlasovacie údaje a následne zraniteľnosť CVE-2025-21590 na vykonanie škodlivého kódu. Zariadenia sú infikované až 6 variantmi open-source backdooru TinyShell. Každý variant na maskovanie svojej činnosti používa iné C2 a inú metódu riadiacej komunikácie.
Možné škody:
- Obídenie bezpečnostného prvku
- Vzdialené vykonanie kódu
Odporúčania:
Administrátorom odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov s Junos OS na verzie 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2 alebo 24.2R2.
Spoločnosť Juniper po aktualizácii systémov odporúča vykonať Quick Scan a Integrity Scan zariadení prostredníctvom nástroja JMRT (Juniper Malware Removal Tool), do ktorého boli v súvislosti s aktívnym zneužitím tejto zraniteľnosti pridané špeciálne detekčné signatúry.
Taktiež odporúčame preveriť prítomnosť indikátorov kompromitácie v logoch sieťových a bezpečnostných prvkov.
Indikátory kompromitácie:
IP adresy C2 serverov:
- 8[.]222[.]225[.]8:22
- 45[.]77[.]39[.]28:22
- 101[.]100[.]182[.]122:22
- 116[.]88[.]34[.]184:22
- 118[.]189[.]188[.]122:22
- 129[.]126[.]109[.]50:22
- 158[.]140[.]135[.]244:22
- 223[.]25[.]78[.]136:22
SHA256 hashe backdoor malwaru:
- 98380ec6bf4e03d3ff490cdc6c48c37714450930e4adf82e6e14d244d8373888
- 5bef7608d66112315eefff354dae42f49178b7498f994a728ae6203a8a59f5a2
- c0ec15e08b4fb3730c5695fb7b4a6b85f7fe341282ad469e4e141c40ead310c3
- 5995aaff5a047565c0d7fe3c80fa354c40e7e8c3e7d4df292316c8472d4ac67a
- 905b18d5df58dd6c16930e318d9574a2ad793ec993ad2f68bca813574e3d854b
- e1de05a2832437ab70d36c4c05b43c4a57f856289224bbd41182deea978400ed
- 3751997cfcb038e6b658e9180bc7cce28a3c25dbb892b661bcd1065723f11f7e
- 7ae38a27494dd6c1bc9ab3c02c3709282e0ebcf1e5fcf59a57dc3ae56cfd13b4
YARA pravidlá pre host-based a Snort/Suricata pravidlá pre sieťovú detekciu môžete nájsť na webovej stránky Google Mandiant.
Zdroje:
- https://supportportal.juniper.net/JSA93446
- https://supportportal.juniper.net/s/article/2025-03-Reference-Advisory-The-RedPenguin-Malware-Incident
- https://nvd.nist.gov/vuln/detail/CVE-2025-21590
- https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-espionage-targets-juniper-routers
- https://thehackernews.com/2025/03/chinese-hackers-breach-juniper-networks.html