瞻博网络(Juniper Networks)发布了一份非周期性的安全公告,针对其会话智能路由器(Session Smart Router)、会话智能控制器(Session Smart Conductor)以及广域网保障托管路由器(WAN Assurance Managed Router)产品中存在的一个严重的身份验证绕过漏洞。该漏洞被标识为 CVE-2025-21589,其通用漏洞评分系统(CVSS)的最高评分为 9.8 分,表明了其严重程度。该漏洞存在于受影响产品的身份验证机制中。根据安全公告,“瞻博网络会话智能路由器中存在的通过替代路径或通道进行身份验证绕过的漏洞,可能会使基于网络的攻击者绕过身份验证,并获取设备的管理控制权。” 这使得攻击者能够完全控制网络基础设施。受影响的产品和版本范围广泛,涵盖了会话智能路由器、会话智能控制器以及广域网保障托管路由器的多个版本。具体而言,该漏洞影响以下版本:1.会话智能路由器:6.7 版本(不包括 5.6.17 及之后版本)、6.0.8 版本及以上、6.1 版本(不包括 6.1.12-lts 及之后版本)、6.2 版本(不包括 6.2.8-lts 及之后版本)、6.3 版本(不包括 6.3.3-r2 及之后版本)。2.会话智能控制器:6.7 版本(不包括 5.6.17 及之后版本)、6.0.8 版本及以上、6.1 版本(不包括 6.1.12-lts 及之后版本)、6.2 版本(不包括 6.2.8-lts 及之后版本)、6.3 版本(不包括 6.3.3-r2 及之后版本)。3.广域网保障托管路由器:6.7 版本(不包括 5.6.17 及之后版本)、6.0.8 版本及以上、6.1 版本(不包括 6.1.12-lts 及之后版本)、6.2 版本(不包括 6.2.8-lts 及之后版本)、6.3 版本(不包括 6.3.3-r2 及之后版本)。瞻博网络已发布了更新的软件版本来修复此漏洞,包括 SSR-5.6.17、SSR-6.1.12-lts、SSR-6.2.8-lts 和 SSR-6.3.3-r2。该公司建议尽快将所有受影响的系统升级到这些版本中的任意一个。对于由控制器管理的部署,瞻博网络指出:“仅升级控制器节点就足够了,修复程序将自动应用于所有连接的路由器。” 不过,他们也建议 “在可行的情况下,路由器仍应升级到修复版本,不过一旦它们连接到已升级的控制器,就不会存在漏洞了。” 这种双管齐下的方法可确保即时缓解漏洞并提供长期保护。连接到 Mist 云的广域网保障用户已经收到了自动补丁。公告中称:“对于连接到 Mist 云且由广域网保障管理配置的设备,此漏洞已自动修复。” 即便如此,瞻博网络仍建议在可行的情况下将路由器升级到修复版本。补丁安装过程旨在将干扰降至最低。瞻博网络保证:“需要注意的是,当在由控制器管理的路由器或广域网保障设备上自动应用修复程序时,不会对路由器的数据平面功能产生影响。” 虽然 “基于 Web 的管理和应用程序编程接口(API)可能会出现短暂的停机(不到 30 秒)”,但对网络流量的影响应该可以忽略不计。目前,瞻博网络安全事件响应团队(Juniper SIRT)尚未发现 CVE-2025-21589 漏洞被恶意利用的情况。然而,鉴于该漏洞的严重性,迅速采取行动对于防范潜在攻击至关重要。由于没有已知的解决方法,升级到已打补丁的软件版本是唯一有效的缓解措施。管理员应优先进行此更新,以保护其网络基础设施。
