Juniper Networks ha lanzado una actualización de seguridad urgente para corregir una vulnerabilidad en Junos OS (CVE-2025-21590) que permitía a los hackers chinos instalar puertas traseras en ruteadores, obteniendo acceso sigiloso a las redes.
Detalles del Ataque
Vulnerabilidad
La debilidad en Junos OS se debe a una inadecuada compartimentación o aislamiento, lo que permitió a los atacantes con altos privilegios ejecutar código arbitrario en los ruteadores vulnerables. Esto comprometía la integridad de los dispositivos afectados.
Explotación
Ciberespías chinos, específicamente el grupo UNC3886, explotaron esta vulnerabilidad desde mediados de 2024 para introducir backdoors personalizados en los ruteadores de Juniper que ya estaban al final de su ciclo de vida (EoL). Se descubrieron al menos seis tipos distintos de puertas traseras en los dispositivos afectados, cada una con su propio método de comunicación con los servidores de comando y control (C2).
Impacto
La vulnerabilidad afecta varios dispositivos de Juniper, incluyendo las series NFX, SRX, EX, QFX, ACX, y MX, entre otros.
Acción de Seguridad ️
Juniper ha lanzado parches para versiones específicas de Junos OS, incluyendo 21.4R3-S10, 22.2R3-S6, y versiones posteriores. Los clientes deben actualizar sus dispositivos a las versiones corregidas para mitigar los riesgos.
Se recomienda para reducir la exposición, restringir el acceso al shell a solo usuarios confiables mientras se realiza la actualización.
La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA) ha añadido esta vulnerabilidad a su catálogo de vulnerabilidades activamente explotadas, ordenando a las agencias federales que aseguren sus dispositivos Juniper antes del 3 de abril.
Contexto del Ataque
Mandiant ha atribuido estas puertas traseras a UNC3886, un grupo de espionaje respaldado por el gobierno chino conocido por explotar vulnerabilidades zero-day en dispositivos de red y plataformas de virtualización.
Este grupo ha estado detrás de ataques sofisticados que afectan principalmente a dispositivos de red de borde, como los ruteadores que actúan como puertas de enlace VPN.
Otros Malware Relacionados
A principios de 2024, Black Lotus Labs descubrió otra campaña de malware llamada J-magic que apuntaba a dispositivos de Juniper para abrir un reverse shell en caso de detectar un “magic packet” en el tráfico de red.
Esta campaña estuvo activa desde mediados de 2023 y se vinculó con un backdoor llamado SeaSpy, operado por otro grupo de espionaje chino, UNC4841.
Recomendaciones Finales ️
- Actualización urgente: Si eres cliente de Juniper, actualiza tus dispositivos cuanto antes para prevenir una posible intrusión.
- Cautela con accesos: Revisa los accesos al shell y asegura que solo los usuarios confiables puedan conectarse al dispositivo.
- Monitoreo continuo: Mantente alerta y realiza auditorías periódicas para detectar actividades sospechosas que puedan ser signo de explotación.
Este ataque resalta la importancia de mantener los dispositivos de red actualizados y seguros, especialmente cuando están en el punto final de su vida útil.