Project RedPenguin: rilevate attività malevole verso dispositivi Juniper Networks

Sintesi

Nel luglio 2024, il team di sicurezza di Juniper Networks ha ricevuto un rapporto riguardante una possibile compromissione da malware relativa specificatamente ai router della serie MX.

Tipologia

• Arbitrary Code Execution
• Denial of Service

Descrizione e potenziali impatti

Nel luglio 2024, il team di sicurezza di Juniper Networks ha ricevuto un rapporto riguardante una possibile compromissione da malware relativa specificatamente ai router della serie MX.

Il vendor ha di conseguenza avviato un progetto di ricerca denominato “RedPenguin”, con l’obiettivo di:

• confermare l’impatto sui propri router;
• comprendere il design e l’implementazione dei malware;
• evidenziare il vettore di attacco – poiché i dispositivi risultano protetti dal sistema di integrità runtime veriexec.

Le analisi del team di sicurezza hanno evidenziato delle attività malevole, con il rilascio di 6 impianti malware durante le fasi di attacco, descritti di seguito:

1. Local Memory Patching Attack Daemon (lmpad)

Lmpad è un impianto progettato per prendere di mira la memoria locale dei dispositivi agendo su due demoni specifici di Junos OS: snmpd e mgd. Il codice malevolo provvede a creare una backdoor persistente sui dispositivi target ed è in grado di eliminare i log associati agli accessi non autorizzati, rendendo difficile la rilevazione delle attività malevole. Due varianti di lmpad sono state trovate, distinte principalmente dalla porta di ascolto utilizzata per ricevere comandi.

2. Junos Denial of Service Daemon (jdosd)

Jdosd è un toolkit di accesso remoto (Remote Access Trojan – RAT) basilare, che consente di eseguire comandi e leggere/scrivere file sui dispositivi compromessi. Il malware utilizza una chiave di autenticazione integrata nel codice ( hardcoded) per stabilire connessioni e dialogare con il server di comando e controllo (C2).

3. Internet Remote Access Daemon (irad)

Irad è un RAT complesso, con una logica di attivazione sofisticata e protocolli di crittografia personalizzati, rispetto a quanto utilizzato da altre componenti quali lmpad e jdosd. Tale malware utilizza l’autenticazione crittografica per garantire che solo i comandi autorizzati vengano eseguiti. Irad può operare in modalità server o client, a seconda delle istruzioni ricevute dal server C2. L’impianto risulta in grado di leggere e scrivere file, avviare shell csh e creare tunnel di rete sui dispositivi target.

4. A Poorly Plagiarized Implant Daemon (appid)

Appid risulta essere una variante del malware open-source Tiny SHell. Questo impianto contiene diversi indirizzi IP hardcoded utilizzati per comunicare con i server C2. Appid risulta progettato per operare principalmente come server, ricevendo comandi dal C2 e eseguendoli sui dispositivi compromessi. Le sue funzionalità includono la lettura e scrittura di file, l’avvio di shell e la creazione di proxy SOCKS.

5. TooObvious (to)

TooObvious è una variante di appid, con funzionalità simili ma con indirizzi IP hardcoded differenti. Questo impianto è stato progettato per operare in maniera furtiva, facendo apparire le connessioni con il server C2 come legittime connessioni SSH. Come appid, TooObvious può leggere e scrivere file, avviare shell e creare proxy SOCKS.

6. Obscure Enigmatic Malware Daemon (oemd)

Oemd è un RAT che utilizza meccanismi di crittografia e hashing per garantire la sicurezza delle comunicazioni con il server C2. Il malware è in grado di eseguire comandi, leggere e scrivere file, avviare shell sui dispositivi compromessi e risulta progettato per essere difficile da rilevare, utilizzando tecniche di evasione avanzate per nascondere la sua presenza sui dispositivi Junos OS.

Il vettore di attacco principale ha visto l’utilizzo di credenziali di root precedentemente compromesse [1], che hanno permesso l’accesso necessario per installare i malware sui dispositivi target.

Contestualmente, le fasi di attacco hanno previsto lo sfruttamento della CVE-2025-21590, di tipo “Improper Isolation or Compartmentalization” e con score CVSS v3.x pari a 4.4. Tale vulnerabilità interessa il sottosistema di sicurezza runtime veriexec, variante dell’omonima componente di NetBSD progettata per garantire l’integrità dei file e dei processi in esecuzione, verificando che siano firmati e non modificati. Nel dettaglio, lo sfruttamento della CVE-2025-21590 interessa una criticità nel processo di isolamento della memoria del kernel di Junos OS, che consentirebbe a un attaccante locale con privilegi elevati e accesso alla shell [2] del dispositivo di iniettare codice arbitrario nella memoria di determinati processi in esecuzione, bypassando i meccanismi di protezione di Veriexec.

Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.

Prodotti e/o versioni affette

Junos OS (router MX Series)

• 21.4.x, versioni precedenti alla 21.4R3-S10
• 22.2.x, versioni precedenti alla 22.2R3-S6
• 22.4.x, versioni precedenti alla 22.4R3-S6
• 23.2.x, versioni precedenti alla 23.2R2-S3
• 23.4.x, versioni precedenti alla 23.4R2-S4
• 24.2.x, versioni precedenti alla 24.2R1-S2 e 24.2R2

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) forniti dai ricercatori di sicurezza e presenti nell’apposito bollettino nella sezione Riferimenti.

[1] Presumibilmente tramite di Phishing, Credential Stuffing e Social Engineering.

[2] La CVE-2025-21590 non può essere sfruttata tramite la CLI (Command Line Interface) di JunosOS, interfaccia software standard che “gira” sopra il kernel del sistema, utilizzata per amministrare e configurare i dispositivi Juniper; per sfruttare la vulnerabilità, l’attaccante necessita di un accesso diretto alla shell del dispositivo. La shell è un ambiente di comando basato su FreeBSD più profondo e potente rispetto alla CLI e permette di eseguire comandi a livello di sistema operativo. Questo tipo di accesso è generalmente più difficile da ottenere e richiede privilegi più elevati.