Juniper Networks, Çinli hackerlar tarafından gizli erişim için arka kapı yönlendiricilerine kullanılan bir Junos OS güvenlik açığı yama yapmak için acil durum güvenlik güncellemeleri yayınladı.
Bu orta şiddet kusuru (CVE-2025-21590) Amazon Güvenlik Mühendisi Matteo Memelli tarafından bildirilmiştir ve uygunsuz bir izolasyon veya bölümlendirme zayıflığından kaynaklanmaktadır. Başarılı sömürü, yüksek ayrıcalıklara sahip yerel saldırganların, cihazların bütünlüğünü tehlikeye atmak için savunmasız yönlendiriciler üzerinde keyfi kod yürütmesine olanak tanır.
Juniper Çarşamba günü yayınlanan döngü dışı bir güvenlik danışmanında uyardı, “Ardıç SIRT’e en az bir kötü niyetli sömürü örneği (Amazon’da değil) rapor edildi. Müşteriler, mevcut olur olmaz ve bu güvenlik açığını azaltmak için adımlar atmaya teşvik ediliyor.”
Diyerek şöyle devam etti: “Çözülmüş platformların tam listesi araştırılırken, kabuklu yalnızca güvenilir kullanıcılara kabuk erişimini kısıtlayarak sömürü riskini azaltması şiddetle tavsiye edilir.”
Güvenlik açığı NFX serisi, sanal srx, srx serisi şubesi, srx serisi He, eski seriler, qfx serisi, ACX ve MX serisi cihazlarda etkilenir ve çözüldü ve 21.4R3-S10, 22.2r3-s6, 22.2R3-S6, 24.4.2r2-s2 ve All 24.2.2.2r2-s2 ve All. sonraki sürümler.
CISA ayrıca Perşembe günü aktif olarak sömürülen güvenlik açıkları kataloğuna CVE-2025-21590 ekledi ve Federal Sivil Yürütme Şubesi (FCEB) ajanslarına, 22-01 Operasyonel Direktifi (BOD) bağlama ile zorunlu olarak savunmasız ardıç cihazlarını güvence altına almalarını emretti.
ABD Siber Güvenlik Ajansı, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır.” Dedi.
Çin siberleri tarafından sömürüldü
Juniper’ın danışmanlığı, Çinli hackerların 2024’ten bu yana güvenlik kusurundan yararlandığını ortaya koyan maniant raporla aynı gün yayınlandı.
Bu kampanyada konuşlandırılan altı backroun da farklı C2 iletişim yöntemleri vardı ve ayrı bir sabit kodlu C2 sunucu adresleri kullandı.
Siber güvenlik şirketi, “2024’ün ortalarında Mantiant, tehdit aktörlerinin Juniper Networks’ün Junos OS yönlendiricilerinde faaliyet gösteren özel backoors kullandığını keşfetti.” “Mandiant, bu arka fırını Çin-Nexus Casusluk Grubu, UNC3886’ya bağladı. Mandiant, Juniper Networks ‘Junos OS yönlendiricilerinde faaliyet gösteren birkaç Tinyshell tabanlı arka kapıyı ortaya çıkardı.”
UNC3886, Edge Networking cihazlarındaki ve sanallaştırma platformlarındaki sıfır gün güvenlik açıklarından yararlanan sofistike saldırıları düzenlemekle bilinir.
Bu yılın başlarında, Black Lotus Labs araştırmacıları, bilinmeyen tehdit aktörlerinin, ağ trafiğinde bir “sihirli paket” tespit ederse ters bir kabuk açan J-Magic kötü amaçlı yazılımla ardıç kenar cihazlarını (birçoğu VPN ağ geçitleri olarak hareket eden) hedeflediğini söyledi.
J-Magic kampanyası, 2023’ün ortaları ile en azından 2014 ortalarında aktifti ve hedefi tespit ederken tehlikeye atılan cihazlara uzun vadeli erişim elde etmekti.
Black Lotus Labs, bu kötü amaçlı yazılımları “düşük güven” ile Seaspy Backdoor’a bağladı. Başka bir Çin-Nexus tehdit oyuncusu (UNC4841 olarak izlendi), ABD devlet kurumlarının e-posta sunucularını ihlal etmek için iki yıldan fazla bir süre önce Barracuda e-posta güvenlik ağ geçitlerine yerleştirdi.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.