Juniper 路由器存在后门漏洞，网络管理员需立即行动

关键要点

Juniper Networks 路由器被发现存在后门，攻击者可以远程控制。目前仅有36台路由器被确认受影响，多数为 VPN 网关。安全专家建议网络管理员严格检查所有设备，更新补丁并启用双因素认证2FA。攻击者利用 cd00r 后门变种，主要目标是 UNIX 设备。

网络管理员被敦促全面扫描 Juniper Networks 路由器，以便确认可能的安全漏洞。根据研究人员的发现，未知的威胁行为者自2023年以来在客户路由器上安装了后门。

黑洞加速器下载安卓

威胁概述

不幸的是，Lumen Technology 公司旗下 Black Lotus 实验室的研究显示，这位未知攻击者可以在本地文件系统上安装反向 Shell，从而获得对路由器的控制权，窃取数据或部署更多恶意软件。

更糟糕的是，SANS Institute 的讲师 Moses Frost 指出：“Juniper 路由器广泛应用于众多互联网服务提供商的基础设施，因此在这些系统上存在后门将成为重大问题。”

值得庆幸的是，研究人员表示，从2024年3月至9月之间对互联网进行扫描时，只有36台路由器被确认存在漏洞，且大多数配置为 VPN 网关。

Moses 在与 CSO 的邮件交流中表示：“如果我是网络管理员或首席信息安全官，首先会尝试确认自己是否受到影响。Lumen 的报告中数据足够用于制定相关脚本。”

他进一步建议：“务必进行打补丁或更换设备。我假设 Juniper 会根据其处理此感染情况提供更多指导。接下来，确保更换所有密码，启用双因素认证2FA，并关闭互联网的远程访问功能，除非是 VPN 设备。管理接口不应暴露于互联网。考虑购买攻击面管理解决方案并进行持续维护。”

应对建议

Moses 还提到：“如果您已经受到影响，这将成为一个巨大的挑战。首先，恢复映像或在某些情况下更换硬件，这取决于感染的深度。大部分情况下，仅删除并重新安装固件就足够了，但 Juniper 可能能提供更大帮助。”

接着，他指出：“若路由器上存在 JDoor 感染，这意味着有人在您的设备上执行了脚本。”他补充说，从 Lumen 的报告来看，通常情况下，某人只能在登录到路由器后执行脚本，或者存在未知的漏洞。“因此，关闭互联网的登录访问，定期更换密码并启用双因素认证是标准做法。如果您不知道您的网络中有这个设备，请考虑使用攻击面管理工具。”

Cypfer 的首席运营官 Ed Dubrovsky 指出，这次事件目前“并没有产生大规模影响”。

然而，他进一步指出，威胁行为者越来越试图对安全设备进行攻破，因为他们可以控制对数字资产的访问。

“大多数组织仍然依赖于供应商的通知或警报，遵循变更管理等标准流程来实施修复，因此需要更长的修复时间。”他说。 “建议在威胁情报和管理/运营功能之间建立更密切的联系。”

漏洞分析

据 Lumen 的研究人员介绍，受影响的路由器受到了一种针对 UNIX 设备的开源 cd00r 后门变种的攻击，该后门具有一个被动代理，寻求具备五个参数的设备。如果设备符合其中一个条件，则会向攻击者发送一个“神奇数据包”。攻击者随后会在本地文件系统上安装反向 Shell，从而控制路由器并进行数据窃取或进一步部署恶意软件。

Lumen 研究人员称这个攻击活动为 Jmagic。

目前，仍不清楚 Juniper 路由器是如何被攻陷的。Lumen 建议网络管理员和信息安全专业人员遵循来自 SANS Institute 的建议，以防止 cd00r 后门的攻击：

“没有可靠的签名可以检测 cd00r，因为它可以轻易被修改。组织应采用防止系统被攻陷的实践，例如监控漏洞，并在其环境中部署入侵检测。此外，发展强大事件处理能力的组织将在多种事件场景包括涉及 cd00r 的事件中做好应对准备。”

Lumen 的研究人员还敦促管理员搜索其