Juniper OS漏洞分析

1、Juniper OS
Junos OS 是一种专有作系统，可为大多数Juniper 网络路由、交换和安全设备提供支持。它基于修改后的 FreeBSD作系统。Junos OS 支持 2 种不同的作模式：
CLI 模式：可以发出标准 Junos OS CLI 命令
Shell 模式：具有 shell 访问权限的用户可以访问底层的 FreeBSD shell 并发出标准的 FreeBSD 命令。

2、Veriexec
Junos OS 包含一个 Verified Exec （veriexec） 子系统，该子系统是原始 NetBSD Veriexec 子系统的修改版本。Veriexec 是一个基于内核的文件完整性子系统，可保护 Junos OS作系统 （OS） 免受未经授权的代码的影响，包括可能损害设备完整性的二进制文件、库、脚本和活动。要运行恶意软件，威胁行为者首先需要绕过 veriexec 保护。
观察到有证据表明Junos 网络在支持的软件和硬件中成功利用了 veriexec 旁路技术。然而，除了本博文后面描述的进程注入技术外，受感染的 EOL 瞻博网络 MX 路由器上的感染表明威胁行为者成功部署了可执行后门。威胁行为者对受影响的设备具有 root 访问权限。
3、通过流程注入规避 Veriexec

Veriexec 保护可防止执行未经授权的二进制文件。这给威胁行为者带来了挑战，因为禁用 veriexec 可能会触发警报。但是，如果不受信任的代码发生在受信任进程的上下文中，则仍然有可能执行不受信任的代码，UNC3886 能够通过将恶意代码注入合法进程的内存来规避这种保护。这种特定技术现在被跟踪为 CVE-2025-21590，详见瞻博网络的安全公告 JSA93446。
为了实现这一目标，UNC3886首先从用于使用合法凭据管理网络设备的终端服务器获得对瞻博网络路由器的特权访问权限，并从 Junos OS CLI 进入 FreeBSD shell。在 shell 环境中，他们使用“here document”功能生成了一个名为 Base64 编码的文件。然后对此编码文件进行解码 ，以创建名为 的压缩存档，随后使用 和 实用程序解压缩并提取该存档以提取恶意二进制文件。ldb.b64base64ldb.tar.gzgunziptar
无法恢复 受感染的瞻博网络路由器文件系统的完整内容。然而，通过对受感染路由器的内存进行分析，成功恢复了三个恶意负载。有效载荷的用途如下：ldb.b64ldb.tar.gz
loader.bin 是一个 shellcode 加载器，负责从 标准库中加载包括 、 、 、 和 的函数，分配内存，以及从 exitmmapopenreadcloselibc.so.7payload.bin
pc.bin包含内存地址0x4012f0
payload.bin被确定为 lmpad 后门的位置独立代码 （PIC） 版本
lmpad 后门的详细信息在恶意软件分析部分介绍。
观察到威胁行为者将恶意负载注入新生成的进程中。Actor创建了一个名为 using 的命名管道，并用于从中持续读取，从而有效地创建了挂起的进程。此阶段涉及以下命令：catnullmkfifocat
rm -rf null;
mkfifo null;
cat null & set pid=$!
echo " $pid"当挂起的进程正在等待来自管道的数据时，威胁行为者利用它从有效负载文件中读取二进制数据并将其写入进程内的特定内存位置。catnullddcatddif=loader.$