漏洞概述
Juniper Networks 最近披露了一個新的漏洞(CVE-2025-52953),影響其 Junos OS 和 Junos OS Evolved 系統。該漏洞允許未經授權的鄰近攻擊者發送有效的 BGP UPDATE 封包,從而重置現有的 BGP 連線,導致持續的拒絕服務(DoS)狀態。
影響範圍
這一問題存在於路由協議守護程序(rpd),影響在 IPv4 和 IPv6 環境中運行的 iBGP 和 eBGP。特別需要注意的是,只有當您的網路配置支援 inet6-vpn 單播地址族時,您的系統才會受到影響。以下是最小配置的示例:
[protocols bgp group <group-name> neighbor <peer-ip-address> family inet6-vpn unicast][protocols bgp group <group-name> family inet6-vpn unicast][protocols bgp family inet6-vpn unicast]
受影響的版本
所有在以下版本之前的 Junos OS 和 Junos OS Evolved 都受到影響:
- Junos OS: 21.2R3-S9, 21.4R3-S11, 22.2R3-S7, 22.4R3-S7, 23.2R2-S4, 23.4R2-S4, 24.2R2, 24.4R1-S3, 24.4R2, 25.2R1 及之後的版本
- Junos OS Evolved: 22.2R3-S7-EVO, 22.4R3-S7-EVO, 23.2R2-S4-EVO, 23.4R2-S4-EVO, 24.2R2-EVO, 24.4R1-S3-EVO, 24.4R2-EVO, 25.2R1-EVO 及之後的版本
嚴重性評估
- CVSS v3.1 分數:6.5(中等)
- CVSS v4.0 分數:7.1(高)
目前尚無可用的替代方案,也沒有已知的正在野外被利用的案例。Juniper 在日常生產使用中發現了這一問題,並將其追蹤為 Bug ID 1855477。
建議措施
如果您正在運行支援 IPv6 VPN 單播地址族的 BGP 配置,應優先考慮立即修補這個漏洞。這類會話重置漏洞可能導致流量黑洞、網路不穩定和中斷,尤其是在服務提供商和數據中心環境中。
監控 BGP 連線的穩定性和意外重置是至關重要的。FastNetMon 用戶可以使用即時 BGP 異常檢測來及早發現這類中斷。
關於 FastNetMon
FastNetMon 是領先的網路安全解決方案,提供先進的 DDoS 檢測和緩解功能。通過即時分析和快速響應能力,FastNetMon 幫助組織保護其基礎設施免受不斷演變的網絡威脅。
更多資訊,請訪問 FastNetMon 官方網站