Безопасность критически важной сетевой инфраструктуры вновь оказалась под угрозой. Компания Juniper Networks экстренно выпустила внеплановый бюллетень безопасности, предупреждая о выявлении опасной уязвимости в её флагманских маршрутизаторах PTX Series, работающих под управлением операционной системы Junos OS Evolved. Ошибка позволяет удалённому злоумышленнику, не обладающему учётными данными, выполнить произвольный код с привилегиями суперпользователя root, что равносильно полному захвату управления устройством. Данный инцидент ярко демонстрирует риски, связанные с уязвимостями в ядре сетевой инфраструктуры, особенно теми, которые обходят механизмы аутентификации и предоставляют высочайший уровень доступа.
Детали уязвимости
Проблема, получившая идентификатор CVE-2026-21902, коренится в некорректном назначении разрешений внутри встроенного механизма обнаружения аномалий (On-Box Anomaly detection framework) в Junos OS Evolved. Этот функционал предназначен для выявления и регистрации нестандартного сетевого поведения, однако из-за ошибки конфигурации он неожиданно стал критически важной поверхностью для атаки. По замыслу разработчиков, доступ к фреймворку должен был быть строго ограничен внутренними процессами, работающими через специальный внутренний экземпляр маршрутизации. Однако из-за уязвимости служба оказывается доступной через порт, открытый для внешних сетей.
Поскольку данная служба включена по умолчанию и не требует дополнительной настройки, злоумышленник может эксплуатировать уязвимость без предварительного доступа к системе или каких-либо учётных данных. Манипулируя экспонированным сервисом, атакующий способен выполнить произвольный код от имени пользователя root, что предоставляет ему неограниченный контроль над маршрутизатором. Подобный уровень доступа открывает перед угрозовыми акторами широкие возможности: от перехвата и модификации всего проходящего через устройство трафика до изменения конфигурации сети и использования скомпрометированного PTX в качестве плацдарма для атак на внутренние ресурсы компании.
Важно отметить, что уязвимость затрагивает исключительно определённые версии Junos OS Evolved на платформах PTX Series. В свою очередь, Juniper Networks поясняет, что стандартная Junos OS, а также более ранние выпуски Junos OS Evolved до версии 25.4, не подвержены данной проблеме. Критичность уязвимости подтверждается высочайшими оценками по шкале CVSS: 9.8 баллов в версии 3.1 и 9.3 балла в версии 4.0. Это классифицирует её как угрозу, эксплуатация которой не требует сложных условий и ведёт к катастрофическим последствиям.
Компания-разработчик обнаружила дефект в ходе внутреннего тестирования безопасности, и на текущий момент нет свидетельств его эксплуатации в реальных атаках. Тем не менее, учитывая критический уровень угрозы и простоту эксплуатации, специалистам по информационной безопасности необходимо предпринять незамедлительные действия. Основным методом устранения проблемы является обновление программного обеспечения маршрутизаторов PTX Series до защищённой версии Junos OS Evolved. Исправление внесено в выпуски 25.4R1-S1-EVO, 25.4R2-EVO, 26.2R1-EVO и во все последующие.
Для организаций, которые не могут немедленно применить обновление, Juniper Networks предлагает эффективные временные решения для снижения риска. Сетевые администраторы могут ограничить доступ к уязвимой службе, настроив строгие списки контроля доступа (ACL, Access Control List) или фильтры межсетевого экрана. Эти правила должны разрешать подключения только с явно определённых доверенных сетей и хостов, блокируя все остальные соединения. Альтернативным решением является полное отключение проблемного сервиса. Это можно сделать, выполнив в командной строке маршрутизатора команду "request pfe anomalies disable". Отключение службы полностью устраняет вектор атаки, обеспечивая временную защиту до момента установки постоянного патча.
Данный случай служит серьёзным напоминанием о важности регулярного аудита безопасности даже встроенных и включённых по умолчанию служб критической инфраструктуры. Эксперты рекомендуют компаниям, использующим оборудование Juniper PTX, немедленно провести инвентаризацию версий Junos OS Evolved в своей сети и приступить к плановому обновлению или применению временных мер защиты. Пренебрежение подобными уязвимостями в устройствах, формирующих магистраль сети, может привести не только к утечке конфиденциальных данных, но и к масштабным сетевым сбоям, что чревато значительными финансовыми и репутационными потерями.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-21902
- https://supportportal.juniper.net/JSA107128
- https://kb.juniper.net/JSA107128
- https://supportportal.juniper.net/s/article/2026-02-Out-of-Cycle-Security-Bulletin-Junos-OS-Evolved-PTX-Series-A-vulnerability-allows-a-unauthenticated-network-based-attacker-to-execute-code-as-root-CVE-2026-21902
