Критична уязвимост в мрежовата операционна система Junos OS Evolved, използвана от рутерите PTX Series на Juniper Networks, може да позволи на неаутентикиран нападател да изпълни отдалечено код с root привилегии и да поеме пълен контрол върху устройството.

PTX Series представляват високопроизводителни core и peering рутери, проектирани за висока пропускателна способност, ниска латентност и мащабируемост. Те се използват широко от интернет доставчици, телекомуникационни оператори и облачни инфраструктури.

Какво представлява CVE-2026-21902

Уязвимостта е регистрирана като CVE-2026-21902 и се дължи на неправилно зададени разрешения в рамките на компонента On-Box Anomaly Detection. По дизайн този механизъм трябва да бъде достъпен единствено за вътрешни процеси чрез вътрешния routing интерфейс.

Според официалното съобщение на производителя, поради грешка услугата може да бъде достъпна през външно експониран порт. Тъй като процесът работи с root права и е активиран по подразбиране, успешната експлоатация би позволила на атакуващ, който вече има достъп до мрежата, да компрометира напълно засегнатия рутер – без да е необходима автентикация.

Засегнати версии и налични корекции

Уязвимостта засяга следните версии на Junos OS Evolved върху PTX рутери:

• всички версии преди 25.4R1-S1-EVO;

• всички версии преди 25.4R2-EVO.

Производителят уточнява, че по-стари издания също може да са засегнати, но версии, достигнали фаза end-of-engineering или end-of-life (EoL), не се оценяват активно.

Не са засегнати:

• версии преди 25.4R1-EVO;

• стандартният (не-Evolved) Junos OS.

Корекции са налични в:

• 25.4R1-S1-EVO

• 25.4R2-EVO

• 26.2R1-EVO

Екипът за реакция при инциденти на Juniper (SIRT) заявява, че към момента на публикуване на бюлетина няма данни за активно злонамерено използване на уязвимостта.

Временни мерки за ограничаване на риска

Ако незабавното инсталиране на обновленията не е възможно, Juniper препоръчва:

• ограничаване на достъпа до засегнатите услуги чрез firewall филтри или Access Control Lists (ACL);

• ограничаване на достъпа само до доверени мрежи;

• алтернативно – пълно деактивиране на уязвимата услуга чрез командата:

Juniper – привлекателна цел за напреднали заплахи

Мрежовото оборудване на Juniper традиционно е обект на интерес от страна на напреднали хакерски групи, тъй като се използва в инфраструктури с висока критичност – облачни центрове за данни, телекоми и големи предприятия.

През март 2025 г. стана ясно, че китайски кибершпиони са внедрявали персонализирани бекдори в EoL Junos OS MX рутери, включително варианти на TinyShell.

През януари 2025 г. кампанията „J-magic“ атакува VPN шлюзове на Juniper в секторите на полупроводниците, енергетиката, производството и ИТ, като разпространяваше зловреден софтуер за мрежово подслушване, активиращ се при получаване на т.нар. „magic packet“.

Още през декември 2024 г. рутери Juniper Smart станаха част от кампании на ботнета Mirai и бяха използвани в DDoS атаки.

Стратегически риск за доставчици и оператори

CVE-2026-21902 подчертава системния риск при мрежовото оборудване от клас carrier-grade. Успешната експлоатация на подобна уязвимост може да осигури на нападателя контрол върху трафика, възможност за прихващане на данни или внедряване на допълнителен зловреден код.

За организациите, които използват PTX Series рутери, приоритетно следва:

• незабавно оценяване на версиите;

• прилагане на наличните пачове;

• стриктна сегментация и контрол на достъпа до управляемите интерфейси.