Threats
Atualização corrige vulnerabilidade usada para acesso furtivo a dispositivos Junos OS
14/03/2025
A Juniper Networks lançou atualização de segurança de emergência para corrigir uma vulnerabilidade no Junos OS, explorada por cibercriminosos para infiltração furtiva em routers. A falha, identificada como CVE-2025-21590, permite que atacantes locais com altos privilégios executem código arbitrário, comprometendo a integridade dos dispositivos afetados. Relatada pelo engenheiro de segurança da Amazon, Matteo Memelli, a vulnerabilidade resulta de uma falha inadequada de isolamento ou compartimentalização. A Juniper Networks, empresa responsável pelo Junos OS, confirmou que já recebeu relatos de exploração maliciosa e aconselhou os clientes a atualizarem os seus dispositivos para versões corrigidas o mais rapidamente possível. Enquanto a atualização não for aplicada, a recomendação é restringir o acesso ao shell apenas a utilizadores de confiança. Os dispositivos afetados incluem as séries NFX, Virtual SRX, SRX-Series Branch e HE, EX-Series, QFX-Series, ACX e MX-Series. A falha foi corrigida nas versões 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 24.2R1-S2, 24.2R2, 24.4R1 e em todas as versões subsequentes do sistema. Além disso, a Cybersecurity and Infrastructure Security Agency (CISA) incluiu a vulnerabilidade no catálogo de falhas exploradas ativamente, exigindo que as agências federais protejam os dispositivos afetados até 3 de abril. A falha já vinha a ser explorada desde 2024, de acordo com um relatório da Mandiant. Os cibercriminosos utilizaram a vulnerabilidade para instalar backdoors em routers que já atingiram o fim da vida útil. A investigação revelou seis backdoors diferentes, cada um com métodos distintos de comunicação C2 e servidores de comando codificados, permitindo um controlo remoto encoberto dos dispositivos comprometidos. Os ataques foram atribuídos ao grupo de espionagem UNC3886, conhecido por explorar vulnerabilidades de zero day em dispositivos de rede e plataformas de virtualização. Alguns relatórios anteriores da Black Lotus Labs já tinham identificado campanhas semelhantes, como o uso do malware J-magic para comprometer dispositivos e manter acesso persistente. A campanha esteve ativa, pelo menos, entre 2023 e 2024, o que evitou a deteção enquanto fornecia acesso a longo prazo a sistemas críticos. |