Juniper Session Smart Routers の脆弱性 CVE-2025-21589 (CVSS 9.8) が FIX：認証バイパスの恐れ

CVE-2025-21589 (CVSS 9.8): Critical Authentication Bypass Flaw in Juniper Session Smart Routers

2025/02/17 SecurityOnline — Juniper Networks がリリースしたのは、Session Smart Router／Session Smart Conductor／WAN Assurance Managed Routerに存在する、深刻な認証バイパスの脆弱性に対処する非定期のセキュリティ速報である。この CVE-2025-21589 の深刻度は、CVSS スコアで 9.8 と評価されている。

Juniper のセキュリティ速報には、「この脆弱性は、前述の製品群における、認証メカニズムに存在する。Juniper Networks Session Smart Router における、代替パス／チャネルの脆弱性を悪用する認証バイパスにより、ネットワークベースの攻撃者が認証をバイパスし、デバイスの管理制御を奪取する可能性が生じる。それにより、攻撃者はネットワーク・インフラを完全に制御できるようになる」と記されている。

影響を受ける製品とバージョンは広範囲にわたり、そこには、Session Smart Router／Session Smart Conductor／WAN Assurance Managed Router の複数のリリースが含まれる。具体的には、以下のバージョンに影響を及ぼす:

Session Smart Router：5.6.7〜5.6.17 未満／6.0.8 以降／6.1〜6.1.12-lts 未満／6.2〜6.2.8-lts 未満／ 6.3〜6.3.3-r2 未満

Session Smart Conductor：5.6.7〜5.6.17 未満、6.0.8 以降／6.1〜6.1.12-lts 未満／6.2〜6.2.8-lts 未満／6.3〜6.3.3-r2 未満

WAN Assurance Managed Routers：5.6.7〜5.6.17 未満／6.0.8 以降／6.1〜6.1.12-lts 未満／6.2〜6.2.8-lts 未満／6.3〜6.3.3-r2 未満

すでに Juniper は、SSR-5.6.17／SSR-6.1.12-lts／SSR-6.2.8-lts／SSR-6.3.3-r2 をリリースし、この問題に対処している。ユーザーに対して強く推奨されるのは、可能な限り早急に、脆弱なシステムを最新バージョンへとアップグレードすることだ。

Juniper は、「Conductor マネージド・デプロイメントの場合においては、Conductor ノードだけのアップグレードで十分であり、接続されている全ルーターに対して、その修正が自動的に適用される。実際には、個々のルーターに修正バージョンを適用する必要があるが、アップグレードされた Conductor に接続することで、その処理が行われる」とアドバイスしている。

Mist Cloud に接続している WAN Assurance ユーザーは、すでに自動パッチを受け取っている。この脆弱性は、Mist Cloud に接続された WAN Assurance デバイス上で、自動的にパッチが適用されると述べている。ただし Juniper は、このようなケースであっても、可能な場合には、修正バージョンへとルーターをアップグレードすることを推奨している。

Juniper は、「このパッチ適用プロセスは、中断を最小限に抑えるように設計されている。Conductor により管理される Router／WAN Assurance において、修正が自動的に適用された場合には、ルーターのデータプレーン機能に影響がないことに注意してほしい。Web ベースの管理と API に、30 秒未満のダウンタイムが発生する可能性があるが、ネットワーク・トラフィックへの影響はごく僅かだ」と指摘している。

現時点において、Juniper SIRT では、脆弱性 CVE-2025-21589 の悪用事例を認識していない。ただし、この脆弱性は深刻なものであるため、迅速に対応し、潜在的な攻撃を防ぐことが不可欠である。既知の回避策がないため、パッチを適用したソフトウェア・リリースへのアップグレードが、唯一の効果的な緩和策となる。管理者は、この更新を優先し、ネットワーク・インフラを保護する必要がある。

Juniper Session Smart Routers に、認証バイパスの脆弱性 CVE-2025-21589 が発生しました。すでにパッチがリリースされていますので、ご利用のチームは、迅速なアップデートを、ご検討ください。よろしければ、Juniper で検索も、ご参照ください。