Juniper 修复Session Smart 路由器中严重的认证绕过漏洞

admin 2025年2月20日00:06:46评论23 views字数 931阅读3分6秒阅读模式

Juniper 修复Session Smart 路由器中严重的认证绕过漏洞聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Juniper Networks 公司修复了一个严重漏洞,它可导致攻击者绕过认证并接管Session Smart Router (SSR) 设备。

该漏洞的编号是CVE-2025-21589,是Juniper Networks 公司在内部产品安全测试过程中找到的,它同时影响 Session Smart Conductor和WAN Assurance Managed Routers。上周,该公司在一份带外安全公告中提到,“Juniper Networks Session Smart Router 中存在通过可选路径或信道绕过认证的漏洞,可导致基于网络的攻击者绕过认证并控制设备。”

Juniper Networks安全事件响应团队 (SIRT) 提到,尚未发现该漏洞已遭利用的证据。该公司已在SSR-5.6.17、SSR-6.1.12-lts、SSR-6.2.8-lts、SSR-6.3.3-r2和之后版本中修复该漏洞。虽然该公司表示与Mist Cloud 相连接的一些设备已得到修复,但建议管理员将所有受影响系统升级至已修复版本。

Juniper 表示,“在Conductor管理的部署中,仅修复 Conductor 节点即可,修复方案将会自动推送到联网路由器。在实践中,路由器应当升级至已修复版本,尽管它们连接至已升级的 Conductor后并不易受影响。”

Juniper 修复Session Smart 路由器中严重的认证绕过漏洞
常遭攻击

因用于关键环境中Juniper 设备常遭攻击,经常在厂商发布安全更新不到一周时间后就会被攻击。

例如,去年6月,Juniper 公司发布紧急更新,修复了另外一个SSR 认证绕过漏洞(CVE-2024-2973),它可用于完全接管未修复设备。8月,ShadowServer 威胁监控服务提醒称,威胁行动者利用watchTowr Labs 发布的利用代码攻击 Juniper EX交换机和 SRX 防火墙。一个月之后,VulnCheck 公司发现数千台 Juniper 设备仍然受该利用链的影响。去年12月,Juniper还提醒称攻击者正在使用默认凭据扫描互联网中的Session Smart路由器并通过 Mirai 恶意软件实施感染。

原文始发于微信公众号(代码卫士):Juniper 修复Session Smart 路由器中严重的认证绕过漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月20日00:06:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Juniper 修复Session Smart 路由器中严重的认证绕过漏洞https://cn-sec.com/archives/3762457.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息