InforSec News: Lỗ hổng của Juniper Session Smart Router có thể cho phép kẻ tấn công vượt qua xác thực

Top Block Position

Lỗ hổng của Juniper Session Smart Router có thể cho phép kẻ tấn công vượt qua xác thực

Juniper Networks đã phát hành các bản cập nhật bảo mật để giải quyết một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các sản phẩm Session Smart Router, Session Smart Conductor và WAN Assurance Router có thể bị khai thác để chiếm quyền kiểm soát các thiết bị dễ bị tổn hại.

Được theo dõi là CVE-2025-21589, lỗ hổng này có điểm CVSS v3.1 là 9,8 và điểm CVS v4 là 9,3. Công ty cho biết "Bỏ qua xác thực bằng cách sử dụng lỗ hổng Alternate Path hoặc Channel trong Juniper Networks Session Smart Router có thể cho phép kẻ tấn công dựa trên mạng vượt qua xác thực và kiểm soát quản trị thiết bị". Lỗ hổng này ảnh hưởng đến các sản phẩm và phiên bản sau:

Session Smart Router: Từ 5.6.7 trước 5.6.17, từ 6.0.8, từ 6.1 trước 6.1.12-lts, từ 6.2 trước 6.2.8-lts và từ 6.3 trước 6.3.3-r2.
Session Smart Conductor: Từ 5.6.7 trước 5.6.17, từ 6.0.8, từ 6.1 trước 6.1.12-lts, từ 6.2 trước 6.2.8-lts và từ 6.3 trước 6.3.3-r2.
WAN Assurance Managed Routers: Từ 5.6.7 trước 5.6.17, từ 6.0.8, từ 6.1 trước 6.1.12-lts, từ 6.2 trước 6.2.8-lts và từ 6.3 trước 6.3.3-r2

Juniper Networks cho biết lỗ hổng này đã được phát hiện trong quá trình thử nghiệm và nghiên cứu bảo mật sản phẩm nội bộ và họ không biết về bất kỳ khai thác độc hại nào.

Lỗ hổng này đã được giải quyết trong các Session Smart Router phiên bản SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts, SSR-6.3.3-r2 trở lên. Công ty nói thêm "Lỗ hổng này đã được vá tự động trên các thiết bị hoạt động với WAN Assurance (nơi cấu hình cũng được quản lý) được kết nối với Mist Cloud. Trên thực tế, các bộ định tuyến vẫn nên được nâng cấp lên phiên bản có chứa bản vá".

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Máy tính để bàn ảo VDI.
Lưu trữ dữ liệu Drive.
Quản lý dịch vụ công nghệ thông tin ITSM.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học