Juniper Networks a publié des mises à jour de sécurité d’urgence pour corriger une vulnérabilité du système d’exploitation Junos exploitée par des pirates informatiques chinois sur des routeurs de porte dérobée pour un accès furtif.
Cette faille de gravité moyenne (CVE-2025-21590) a été signalée par l’ingénieur en sécurité d’Amazon Matteo Memelli et est causée par une faiblesse d’isolement ou de compartimentation incorrecte. Une exploitation réussie permet aux attaquants locaux dotés de privilèges élevés d’exécuter du code arbitraire sur des routeurs vulnérables pour compromettre l’intégrité des périphériques.
« Au moins un cas d’exploitation malveillante (pas chez Amazon) a été signalé à la SIRT de Juniper. Les clients sont encouragés à passer à une version fixe dès qu’elle est disponible et, en attendant, à prendre des mesures pour atténuer cette vulnérabilité », a averti Juniper dans un avis de sécurité hors cycle publié mercredi,
« Bien que la liste complète des plates-formes résolues soit à l’étude, il est fortement recommandé d’atténuer le risque d’exploitation en limitant l’accès au shell aux seuls utilisateurs de confiance. »
La vulnérabilité affecte les périphériques de la série NFX, Virtual SRX, SRX-Series Branch, SRX-Series HE, EX-Series, QFX-Series, ACX et MX-Series et a été résolue dans 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 24.2R1-S2, 24.2R2, 24.4R1 et toutes les versions ultérieures.
CISA a également ajouté CVE-2025-21590 à son catalogue de vulnérabilités activement exploitées jeudi, ordonnant aux agences de la Branche Exécutive Civile fédérale (FCEB) de sécuriser les appareils Juniper vulnérables d’ici le 3 avril, conformément à la Directive opérationnelle contraignante (BOD) 22-01.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et posent des risques importants pour l’entreprise fédérale », a déclaré l’agence américaine de cybersécurité.
Exploité par les cyberespions chinois
L’avis de Juniper a été publié le même jour qu’un rapport de Mandiant révélant que des pirates informatiques chinois ont exploité la faille de sécurité depuis 2024 pour pirater des routeurs Juniper vulnérables qui ont atteint la fin de vie (EoL).
Les six portes dérobées déployées dans cette campagne avaient des méthodes de communication C2 distinctes et utilisaient un ensemble distinct d’adresses de serveur C2 codées en dur.
« À la mi-2024, Mandiant a découvert que des acteurs de la menace déployaient des portes dérobées personnalisées opérant sur les routeurs Junos OS de Juniper Networks », a expliqué la société de cybersécurité. « Mandiant a attribué ces portes dérobées au groupe d’espionnage China-nexus, UNC3886. Mandiant a découvert plusieurs portes dérobées basées sur TINYSHELL fonctionnant sur les routeurs Junos OS de Juniper Networks. »
UNC3886 est connu pour orchestrer des attaques sophistiquées exploitant les vulnérabilités zero-day dans les périphériques réseau périphériques et les plates-formes de virtualisation.
Plus tôt cette année, les chercheurs de Black Lotus Labs ont déclaré que des acteurs de la menace inconnus ciblaient les appareils Juniper edge (dont beaucoup agissent comme des passerelles VPN) avec le malware J-magic qui ouvre un shell inversé s’il détecte un « paquet magique » dans le trafic réseau.
La campagne J-magic a été active entre la mi-2023 et au moins la mi-2024, et son objectif était d’obtenir un accès à long terme aux appareils compromis tout en échappant à la détection.
Black Lotus Labs a lié ce malware avec une « faible confiance » à la porte dérobée SeaSpy. Un autre acteur chinois de la menace nexus (suivi comme UNC4841) a déployé ce malware il y a plus de deux ans sur les passerelles de sécurité de messagerie Barracuda pour pirater les serveurs de messagerie des agences gouvernementales américaines.