В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критическая уязвимость в операционных системах для сетевого оборудования. Эксперты присвоили ей идентификатор BDU:2026-02527 и высокий уровень опасности. Данная уязвимость затрагивает систему обнаружения аномалий в операционной системе Junos OS Evolved от Juniper Networks. Уязвимость позволяет удаленному злоумышленнику без аутентификации выполнить произвольный код с максимальными привилегиями (правами root).
Детали уязвимости
Уязвимость классифицируется как ошибка неправильного присвоения разрешений для критичного ресурса (CWE-732). По сути, это архитектурная проблема, при которой критически важный компонент системы имеет избыточные права или неправильно настроен контроль доступа. В данном случае таким компонентом стала подсистема обнаружения аномалий. Злоумышленник может отправить специально сформированный запрос на 8160 порт уязвимого устройства, что приведет к полному компрометации системы.
Под угрозой находятся устройства линейки PTX Series, которые часто используются для построения высокопроизводительных магистральных сетей и сетей агрегации трафика в интернет-провайдерах и крупных дата-центрах. Уязвимыми являются версии Junos OS Evolved до 25.4R1-S1-EVO и до 25.4R2-EVO. Производитель уже подтвердил наличие проблемы и присвоил ей идентификатор CVE-2026-21902.
Оценка по методологии CVSS подчеркивает серьезность угрозы. Базовая оценка CVSS 3.1 составляет 9.8 балла из 10, что соответствует критическому уровню. Вектор атаки - сетевой (AV:N), атака не требует сложных условий (AC:L) или аутентификации (PR:N). В результате успешной эксплуатации злоумышленник получает полный контроль над устройством (C:H/I:H/A:H), что может привести к остановке сетевого трафика, перехвату данных или использованию устройства в качестве плацдарма для атак вглубь корпоративной сети.
Особую озабоченность у экспертов вызывает факт наличия эксплойта в открытом доступе. Исходный код для проверки и возможного использования уязвимости уже опубликован на платформе GitHub. Это значительно сокращает временное окно для защиты и повышает вероятность массовых атак. Как правило, подобные уязвимости в критической сетевой инфраструктуре привлекают внимание как киберпреступников, так и продвинутых хакерских групп.
Производитель выпустил внеплановый бюллетень безопасности и рекомендует незамедлительно обновить ПО до исправленных версий. Однако в рекомендациях BDU содержится важное предостережение. В связи с геополитической обстановкой и санкциями установка обновлений из иностранных источников должна проводиться после тщательной оценки всех сопутствующих рисков. Это стандартная формулировка, напоминающая о необходимости соблюдения регуляторных требований и проверки надежности каналов поставки обновлений.
Если немедленное обновление невозможно, специалисты по кибербезопасности предлагают ряд компенсирующих мер. Прежде всего, необходимо ограничить удаленный доступ к уязвимому устройству по сетевому порту 8160 с помощью правил межсетевого экрана. Кроме того, эффективной мерой является организация доступа по схеме «белых списков», когда соединения разрешены только с доверенных IP-адресов. Также рекомендуется использовать виртуальные частные сети (VPN) для любого удаленного администрирования.
Для мониторинга попыток эксплуатации стоит задействовать системы управления событиями и информационной безопасностью. Они помогут отслеживать подозрительные обращения к системе обнаружения аномалий из внешних сетей. Важнейшим принципом остается минимизация доступа к критическому сетевому оборудованию из интернета. По возможности, такие устройства должны быть полностью изолированы от глобальной сети.
Обнаружение этой уязвимости служит серьезным напоминанием для всех организаций, использующих сложное сетевое оборудование. Даже встроенные системы безопасности, такие как модули обнаружения аномалий, сами могут стать вектором атаки при наличии архитектурных ошибок. Поэтому регулярное обновление, строгое сегментирование сети и постоянный мониторинг трафика остаются ключевыми элементами защиты. Сейчас, когда эксплойт уже публично доступен, время на принятие защитных мер становится критически важным ресурсом для сетевых инженеров и специалистов SOC.
Ссылки
- https://bdu.fstec.ru/vul/2026-02527
- https://www.cve.org/CVERecord?id=CVE-2026-21902
- https://supportportal.juniper.net/s/article/2026-02-Out-of-Cycle-Security-Bulletin-Junos-OS-Evolved-PTX-Series-A-vulnerability-allows-a-unauthenticated-network-based-attacker-to-execute-code-as-root-CVE-2026-21902
- https://github.com/watchtowrlabs/watchTowr-vs-JunosEvolved-CVE-2026-21902/blob/main/watchTowr-vs-JunosEvolved-CVE-2026-21902.py
- https://supportportal.juniper.net/s/article/2026-02-Out-of-Cycle-Security-Bulletin-Junos-OS-Evolved-PTX-Series-A-vulnerability-allows-a-unauthenticated-network-based-attacker-to-execute-code-as-root-CVE-2026-21902
