Des pirates chinois s’infiltrent sur les routeurs Juniper depuis mi-2024 grâce à une porte dérobée
Depuis mi-2024, un groupe de cyberespions chinois exploite une vulnérabilité dans le système Junos OS pour installer une porte dérobée sur les routeurs Juniper vulnérables. Faisons le point.
Pour infiltrer les routeurs de Juniper, le groupe de pirates s'appuient sur une nouvelle faille de sécurité désormais corrigée par Juniper : CVE-2025-21590. Elle a été signalée par Matteo Memelli, un ingénieur en sécurité de chez Amazon. Son exploitation permet à un attaquant local disposant de privilèges élevés de pouvoir exécuter du code arbitraire sur les routeurs.
Juniper Networks a confirmé que cette vulnérabilité est déjà exploitée : "Au moins un cas d'exploitation malveillante (pas chez Amazon) a été signalé au SIRT de Juniper. Les clients sont invités à passer à une version corrigée dès qu'elle sera disponible et, dans l'intervalle, à prendre des mesures pour atténuer cette vulnérabilité."
CVE-2025-21590 : une vulnérabilité exploitée par la Chine
Dans le même temps, les équipes de Mandiant ont mis en ligne un nouveau rapport pour évoquer les activités d'espionnage du groupe UNC3886. "L'UNC3886 est un groupe de cyberespionnage très compétent, proche de la Chine, qui a toujours ciblé les dispositifs de réseau et les technologies de virtualisation par des exploits de type "zero-day".", explique Mandiant. Il est vrai qu'UNC3886 est connu pour s'intéresser aux équipements de bordure, comme c'est le cas ici.
Il s'avère que depuis mi-2024, ce groupe de cybercriminels exploite la vulnérabilité CVE-2025-21590 pour déployer des portes dérobées sur les routeurs Juniper vulnérables, et bien souvent, en fin de vie. Au total, 6 portes dérobées différentes ont été repérées, avec à chaque fois une souche malveillante basée sur TinyShell.
Les pirates peuvent profiter de cet accès sur le routeur pour agir discrètement et de façon persistante. Le routeur étant dépourvu de solution de sécurité (pas d'EDR, par exemple), les menaces sont plus difficiles à détecter.
"Mandiant a déjà signalé que l'UNC3886 mettait l'accent sur les techniques de collecte et d'utilisation d'informations d'identification légitimes pour se déplacer latéralement au sein d'un réseau, sans être détecté.", précise le rapport de Mandiant.
Comment se protéger ?
Le bulletin de sécurité de Juniper référence toutes les versions de Junos OS vulnérables, ainsi que les séries de produits affectés. Les modèles touchés incluent les séries NFX, Virtual SRX, SRX-Series Branch, SRX-Series HE, EX-Series, QFX-Series, ACX et MX-Series.
Juniper a publié de nouvelles versions de Junos OS pour patcher cette vulnérabilité : 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 24.2R1-S2, 24.2R2, 24.4R1 (et toutes les versions ultérieures). Pour le moment, Juniper précise que la liste complète des plateformes affectées est encore en cours d'évaluation.
"Ce problème ne concerne pas Junos OS Evolved.", peut-on lire.
Par ailleurs, face à cette menace, l'agence américaine CISA a ajouté CVE-2025-21590 à son catalogue des vulnérabilités activement exploitées et a ordonné aux agences fédérales de patcher leurs routeurs Juniper avant le 3 avril 2025.
