CVE-2025-21590

Juniper Junos OS

ВЕРОЯТНОСТЬ 0.9%
Дата обнаружения

2025-03-13

Официальное описание

Juniper Junos OS contains an improper isolation or compartmentalization vulnerability. This vulnerability could allows a local attacker with high privileges to inject arbitrary code.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-21590 представляет собой критическую ошибку изоляции или разделения ресурсов (Improper Isolation or Compartmentalization) в операционной системе Juniper Junos OS.

Уязвимость позволяет локальному злоумышленнику, уже обладающему высокими привилегиями в системе, выйти за пределы установленных ограничений среды и внедрить произвольный код. Несмотря на то что для эксплуатации требуются права администратора, данная брешь критична, так как позволяет полностью скомпрометировать нижележащую систему (underlying OS), обойти механизмы контроля целостности и закрепиться в инфраструктуре на уровне, недоступном для стандартных средств мониторинга Junos.

Как исправить

Основным способом устранения является обновление Junos OS до фиксированного релиза. Juniper Networks выпустила патчи для всех поддерживаемых веток.

  1. Проверьте текущую версию ОС:
show version
  1. Загрузите исправленный образ (Junos OS / Junos OS Evolved) с портала поддержки Juniper и выполните обновление:
request system software add [path_to_package] reboot

Минимальные версии, в которых уязвимость устранена: * Junos OS: 21.4R3-S9, 22.2R3-S5, 22.3R3-S4, 22.4R3-S3, 23.2R2-S1, 23.4R2, 24.2R1 и выше. * Junos OS Evolved: 21.4R3-S9-EVO, 22.2R3-S5-EVO, 22.3R3-S4-EVO, 22.4R3-S3-EVO, 23.2R2-S1-EVO, 23.4R2-EVO, 24.2R1-EVO и выше.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риск эксплуатации путем ужесточения контроля доступа:

  1. Ограничьте список доверенных IP-адресов для управления устройством (SSH, HTTPS) с помощью Firewall Filters (ACL):
set policy-options prefix-list MGMT_IPS [IP_ADDRESS/MASK]
set firewall filter MGMT_ONLY term ALLOW_TRUSTED from source-prefix-list MGMT_IPS
set firewall filter MGMT_ONLY term ALLOW_TRUSTED then accept
set firewall filter MGMT_ONLY term DENY_OTHERS then discard
set interfaces fxp0 unit 0 family inet filter input MGMT_ONLY

  1. Внедрите строгую ролевую модель доступа (RBAC), чтобы исключить наличие избыточных учетных записей с правами super-user.

  2. Настройте удаленное логирование всех команд, выполняемых пользователями с высокими привилегиями, на внешний Syslog-сервер:

set system syslog host [SYSLOG_SERVER_IP] interactive-commands any
  1. Отключите неиспользуемые сервисы управления (например, Telnet, HTTP, FTP):
delete system services telnet
delete system services web-management http
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей