По роутерам Juniper расползается бэкдор, активирующийся "волшебным пакетом"

[Selena]

Исследователи из Black Lotus Labs сообщают о том, что с середины 2023 года ряд корпоративных роутеров Juniper с Junos OS, половина из которых была сконфигурирована как VPN-шлюз, тихо и незаметно заражается вариантом "невидимого" бэкдора cd00r, заточенного под максимально незаметное исполнение в атакованной системе. В отличие от традиционных бэкдоров, которые незатейливо открывают какой-нибудь порт и ожидают поступления команд, J-Magic мониторит стандартный трафик, проходящий через роутер, на предмет обнаружения "магического пакета", содержащего определенные значения в TCP-заголовке. Далее отправителю этого пакета отсылается случайная строка из пяти символов, зашифрованная публичным RSA-ключом, и если отправителю удается ее расшифровать и отправить роутеру для верификации, тот начинает выполнять удаленные команды.


Source: bugtraq.ru/rsn/archive/2025/01/01.html