Juniper Networks, oturum akıllı yönlendiricisi, oturum akıllı şefi ve WAN güvence yönlendirici ürün hatları için acil bir güvenlik bülteni yayınladı ve kritik bir API kimlik doğrulama bypass güvenlik açığını (CVE-2025-21589), yetkilendirilmemiş saldırganların, haklar üzerinde tam yönetimsel kontrol kazanmasını sağlayan (CVE-2025-21589) ortaya koydu. .
Kusur, yeni CVSS V4.0 çerçevesi altında CVSS v3.1 ve 9.3 altında maksimum 9.8 şiddet derecelendirmeleri taşır ve kurumsal ağları ve yönetilen servis sağlayıcı ortamlarını bozma potansiyelini yansıtır.
Güvenlik açığının teknik analizi
Güvenlik açığı, yönetim API arayüzündeki alternatif bir yol kimlik doğrulama baypasından kaynaklanır ve ağ tabanlı saldırganların geçerli kimlik bilgileri olmadan ayrıcalıklı işlemleri yürütmesine izin verir.
Bu mimari zayıflık, ilişkili iletken yönetim düğümleri ve SIS bulut tarafından yönetilen WAN güvence yönlendiricileri dahil olmak üzere 5.6.7’den 6.3.3-r2’ye kadar yazılım sürümlerini çalıştıran tüm oturum akıllı yönlendirici dağıtımlarını etkiler.
CVSS vektör bozulmasının analizi, tam ağ saldırısı canlılığı (AV: N), sıfır saldırı karmaşıklığı (AC: L) ve gizlilik, bütünlük ve kullanılabilirlik etkilerinden tam olarak uzlaşmayı ortaya çıkarır.
Belirli önkoşullar gerektiren birçok kritik güvenlik açığının aksine, CVE-2025-21589, kullanıcı etkileşimi veya sömürü için özel ayrıcalık gerektirmez.
Juniper’ın iç güvenlik ekibi, rutin test sırasında kusuru keşfetti ve vahşi doğada aktif sömürü kanıtı yoktu.
Etkilenen ürünler ve iyileştirme zaman çizelgeleri
Güvenlik açığı, Juniper’ın SD-WAN ekosisteminin üç temel bileşenini etkiler:
Oturum akıllı yönlendiriciler kenar bağlantısını kullanır, oturum akıllı iletkenleri merkezi yönetim ve bulut bulutla entegre WAN güvence yönlendiricileri sağlar.
Belirli savunmasız versiyonlar, 5.6.7 ila 5.6.17, 6.0.8 ve 6.3-R2’den 6.x dalları dahil olmak üzere büyük sürümleri kapsamaktadır.
Juniper, etkilenen tüm ürün hatlarında sabit sürümler yayınladı:
- SSR-5.6.17 Eski dağıtımlar için
- SSR-6.1.12-LTS Ve SSR-6.2.8-LTS Uzun süreli destek şubeleri için
- SSR-6.3.3-R2 Mevcut nesil donanım için
İletken tabanlı dağıtımları yöneten ağ yöneticileri, önce iletken düğümlerini yükselterek güvenlik açığını yamalayabilir, bu da düzeltmeleri otomatik olarak bağlı yönlendiricilere yayar.
Bulut tarafından yönetilen WAN güvence yönlendiricileri Mist bulutu aracılığıyla otomatik yamalar aldı, ancak fiziksel cihazlar hala temel yükseltmeler gerektiriyor.
Juniper, üretim trafiği akışlarını etkilemeyen 30 saniyelik API/yönetim arayüzü yeniden başlatmalarıyla yamaların kesintisiz doğasını vurgular.
Şirketin Danışma Notları Başarılı hafifletme, hem iletken/bulut bileşenlerinin hem de bireysel yönlendiricilerin nihayetinde yamalı yazılımlarda senkronize durumlara ulaşmasını gerektirir.
Tag Cyber’daki güvenlik analistleri, bu güncellemelerin derhal önceliklendirilmesini önererek, ağ altyapısındaki kimlik doğrulamasının fidye yazılımı dağıtımına ve yanal hareket fırsatlarına yol açtığını belirtti.
Juniper’ın hızlı yanıtı-aynı gün danışma sürümü içinde yayınlanan düzeltmeler-bu mimari maruziyetin ciddiyetini yansıtıyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free