聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的编号是CVE-2025-21589,是Juniper Networks 公司在内部产品安全测试过程中找到的,它同时影响 Session Smart Conductor和WAN Assurance Managed Routers。上周,该公司在一份带外安全公告中提到,“Juniper Networks Session Smart Router 中存在通过可选路径或信道绕过认证的漏洞,可导致基于网络的攻击者绕过认证并控制设备。”
Juniper Networks安全事件响应团队 (SIRT) 提到,尚未发现该漏洞已遭利用的证据。该公司已在SSR-5.6.17、SSR-6.1.12-lts、SSR-6.2.8-lts、SSR-6.3.3-r2和之后版本中修复该漏洞。虽然该公司表示与Mist Cloud 相连接的一些设备已得到修复,但建议管理员将所有受影响系统升级至已修复版本。
Juniper 表示,“在Conductor管理的部署中,仅修复 Conductor 节点即可,修复方案将会自动推送到联网路由器。在实践中,路由器应当升级至已修复版本,尽管它们连接至已升级的 Conductor后并不易受影响。”
因用于关键环境中Juniper 设备常遭攻击,经常在厂商发布安全更新不到一周时间后就会被攻击。
例如,去年6月,Juniper 公司发布紧急更新,修复了另外一个SSR 认证绕过漏洞(CVE-2024-2973),它可用于完全接管未修复设备。8月,ShadowServer 威胁监控服务提醒称,威胁行动者利用watchTowr Labs 发布的利用代码攻击 Juniper EX交换机和 SRX 防火墙。一个月之后,VulnCheck 公司发现数千台 Juniper 设备仍然受该利用链的影响。去年12月,Juniper还提醒称攻击者正在使用默认凭据扫描互联网中的Session Smart路由器并通过 Mirai 恶意软件实施感染。
原文始发于微信公众号(代码卫士):Juniper 修复Session Smart 路由器中严重的认证绕过漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论