Маршрутизаторы Juniper Session Smart имеют критическую уязвимость, поэтому немедленно установите исправление.

Компания Juniper Networks сообщила об обнаружении критической уязвимости в процессе внутреннего тестирования. Уязвимость CVE-2025-21589, связанная с обходом аутентификации на устройствах Session Smart Routers (SSR), имеет оценку серьёзности 9.8 из 10 баллов и позволяет злоумышленникам полностью захватить управление устройствами.

Компания выпустила исправление для этой критической уязвимости, которая затрагивает устройства Session Smart Routers (SSR), Session Smart Conductor и WAN Assurance Managed Router. Влияние уязвимости распространяется на следующие версии программного обеспечения:

• Session Smart Router: от 5.6.7 до 5.6.17, от 6.0.8, от 6.1 до 6.1.12-lts, от 6.2 до 6.2.8-lts, от 6.3 до 6.3.3-r2.
• Session Smart Conductor: от 5.6.7 до 5.6.17, от 6.0.8, от 6.1 до 6.1.12-lts, от 6.2 до 6.2.8-lts, от 6.3 до 6.3.3-r2.
• WAN Assurance Managed Routers: от 5.6.7 до 5.6.17, от 6.0.8, от 6.1 до 6.1.12-lts, от 6.2 до 6.2.8-lts, от 6.3 до 6.3.3-r2.

Juniper Networks указала, что для защиты устройств необходимо применить исправления: SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts, SSR-6.3.3-r2 и последующие версии.

Компания подчеркнула, что в случае развертывания с использованием Session Smart Conductor достаточно обновить только узлы кондуктора — исправление будет применено автоматически ко всем подключенным роутерам. Однако рекомендуется всё равно обновлять сами роутеры до зафиксированных версий.

Подтверждение успешного применения исправления можно получить, когда состояние устройства на кондукторе достигнет стадии "running" (для версий 6.2 и ранее) или "synchronized" (для версий 6.3+).

Устройства, работающие с WAN Assurance и подключенные к Mist Cloud, автоматически обновляются. Однако рекомендуется всё равно выполнить их обновление до зафиксированных версий.

На данный момент нет доказательств того, что данная уязвимость использовалась злоумышленниками в реальных условиях.