A Juniper Networks lançou atualizações de segurança emergenciais para corrigir uma vulnerabilidade no Junos OS que foi explorada por hackers chineses para inserir backdoors em roteadores, permitindo acesso discreto.
Essa falha de gravidade média (
CVE-2025-21590
) foi relatada pelo engenheiro de segurança da Amazon, Matteo Memelli, e é causada por uma fraqueza na isolamento ou compartimentalização inadequados.
A exploração bem-sucedida permite que atacantes locais com altos privilégios executem código arbitrário em roteadores vulneráveis para comprometer a integridade dos dispositivos.
"Pelo menos uma instância de exploração maliciosa (fora da Amazon) foi relatada ao Juniper SIRT.
Os clientes são encorajados a atualizar para uma versão corrigida assim que estiver disponível e, enquanto isso, tomar medidas para mitigar essa vulnerabilidade," a Juniper alertou em um comunicado de segurança fora do ciclo emitido na quarta-feira.
Embora a lista completa de plataformas resolvidas esteja sob investigação, é altamente recomendado mitigar o risco de exploração restringindo o acesso ao shell apenas para usuários confiáveis.
A vulnerabilidade afeta dispositivos NFX-Series, Virtual SRX, SRX-Series Branch, SRX-Series HE, EX-Series, QFX-Series, ACX e MX-Series e foi resolvida nas versões 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 24.2R1-S2, 24.2R2, 24.4R1, e todas as versões subsequentes.
A CISA também adicionou o
CVE-2025-21590
ao seu catálogo de vulnerabilidades sendo ativamente exploradas na quinta-feira, ordenando que as agências do Executivo Civil Federal (FCEB) protejam os dispositivos Juniper vulneráveis até 3 de abril conforme determinado pela Diretriz Operacional Vinculante (BOD) 22-01.
"Esse tipo de vulnerabilidade são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para a empresa federal," disse a agência de cibersegurança dos EUA.
O aviso da Juniper foi divulgado no mesmo dia em que um relatório da Mandiant revelou que hackers chineses exploraram a falha de segurança desde 2024 para inserir backdoors em roteadores Juniper vulneráveis que alcançaram o fim da vida útil (EoL).
Todos os seis backdoors implantados nessa campanha tinham métodos distintos de comunicação C2 e usavam um conjunto separado de endereços de servidores C2 codificados.
"Em meados de 2024, a Mandiant descobriu que atores de ameaças implantaram backdoors personalizados operando em roteadores Juniper Networks' Junos OS," explicou a empresa de cibersegurança.
A Mandiant atribuiu esses backdoors ao grupo de espionagem de vínculo chinês, UNC3886.
A Mandiant descobriu vários backdoors baseados em TINYSHELL operando em roteadores Juniper Networks' Junos OS.
UNC3886 é conhecido por orquestrar ataques sofisticados explorando vulnerabilidades zero-day em dispositivos de rede periféricos e plataformas de virtualização.
No início deste ano, pesquisadores da Black Lotus Labs disseram que atores de ameaças desconhecidos vêm atacando dispositivos de borda Juniper (muitos agindo como gateways VPN) com malware J-magic que abre um shell reverso se detectar um "pacote mágico" no tráfego de rede.
A campanha J-magic estava ativa entre meados de 2023 e pelo menos meados de 2024, e seu objetivo era obter acesso de longo prazo aos dispositivos comprometidos enquanto evitava detecção.
O Black Lotus Labs vinculou esse malware com "baixa confiança" ao backdoor SeaSpy.
Outro ator de ameaça de vínculo chinês (rastreado como UNC4841) implantou esse malware mais de dois anos atrás em Barracuda Email Security Gateways para violar os servidores de email de agências governamentais dos EUA.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...