Dalış Kılavuzu:
- Juniper MX Cihazları’nın derinlemesine bilgisine sahip bir Çin-Nexus tehdit oyuncusu, özel backdoors kullanarak yönlendiricileri tehlikeye attı, Çarşamba günü yayınlanan araştırmaya göre maniant tarafından.
- 2024’ün ortalarında, güvenlik firması, üzerine kurulu Tinyshell tabanlı backdoors ile ardıç işletim sistemi yönlendiricileri buldu. Maniant araştırmacılar, etkilenen yönlendiricilerin yaşam sonu donanımı ve yazılımını çalıştırdıklarını söyledi.
- Juniper Networks, tehdit faaliyetinin bir Uygun olmayan izolasyon veya bölümlendirme güvenlik açığı Junos OS çekirdeğinde. Güvenlik açığı, CVE-2025-21590kabuk erişimi olan yerel bir saldırganın keyfi kod yürütmesine izin verebilir.
Dalış içgörü:
UNC 3886 olarak izlenen tehdit oyuncusu, daha önce ağ kenar cihazlarına ve sanallaştırma makinelerine özel backdoors dağıtmış ve keşfedilmeden bir ağ içinde yanal olarak hareket etmek için meşru kimlik bilgilerini kullanmıştır.
Google Tehdit Analisti Austin Larsen, “UNC3886’nın tipik olarak Microsoft Windows gibi diğer işletim sistemleri kadar adli görünürlüğe sahip olmayan ağ teknolojilerini hedeflediği bilinmektedir” dedi.
Sırasıyla ABD kritik altyapısı ve telekom firmalarının hacklenmesinde rol oynayan Volt Typhoon veya Tuz Typhoon ile bağlantılı tehdit faaliyeti ile bilinen bir örtüşme yoktur.
Bir müşteri ortamında şüpheli faaliyet gözlemlendiğinde tehdidi araştırmak için maniant çağrıldı. Prob sırasında Mantiant, birden fazla Juniper MX yönlendiricisinde bulunan Tinyshell Backdoor’un altı ayrı örneği buldu.
Aktif ve pasif arka fırınların ötesinde, tehdit oyuncusu, günlüğe kaydetme mekanizmalarını etkili bir şekilde devre dışı bırakan gömülü bir komut dosyası kullandı. Bu nedenle, mevcut güvenlik izleme sistemleri tehdit faaliyetini tespit edemedi.
Danışmanlığa göre, en az bir kötü niyetli sömürü örneği bildirilmiştir.
Hem Mandiant hem de Juniper Networks, bu yönlendiricileri kullanan kuruluşların cihazlarını derhal yükseltmesini ve sistemlerinin güvenli olduğunu doğrulamak için bir bütünlük denetleyicisi çalıştırmasını önerdi. Şirket yeni yazılım sürümleri yayınladı; Ancak, ömrünün sonuna ulaşan bültenleri değerlendirmek şirketin normal politikası değildir.
Etkilenen platformların tam listesi hala araştırılıyor olsa da, müşteriler Juniper’a göre kabuk erişimini yalnızca güvenilir kullanıcılarla kısıtlamalıdır.
Bir ardıç sözcüsü, “Güvenlik güvenlik açıklarının sorumlu ifşa edilmesine kararlıyız ve gelişmekte olan güvenlik tehditlerine karşı koymak için güvenlik topluluğundaki endüstri ortakları ve devlet kurumlarıyla aktif olarak çalışıyoruz” dedi.