Plattform
juniper
Komponente
juniper-junos
Behoben in
21.2R3-S10
21.4R3-S12
22.2R3-S8
22.4R3-S9
23.2R2-S6
23.4R2-S7
24.2R2-S3
24.4R2-S3
25.2R1-S2, 25.2R2
21.3*
22.1*
22.3*
CVE-2026-33790 describes an Improper Check for Unusual or Exceptional Conditions vulnerability found within the flow daemon (flowd) component of Juniper Networks Junos OS, specifically impacting SRX Series devices. An attacker can trigger a Denial of Service (DoS) by sending a specially crafted, malformed ICMPv6 packet, leading to repeated crashes and restarts of the srxpfe process. This vulnerability affects Junos OS versions from 0.0.0 through 25.2R1-S2 and 25.2R2, but has been resolved in versions 25.2R1-S2 and 25.2R2.
Die CVE-2026-33790-Schwachstelle in Junos OS betrifft SRX Series-Geräte und ermöglicht einem Angreifer, einen Denial-of-Service (DoS)-Zustand auszulösen, indem er fehlerhafte ICMPv6-Pakete sendet. Insbesondere kann ein speziell gestaltetes ICMPv6-Paket, das eine fehlende Validierung ungewöhnlicher oder außergewöhnlicher Bedingungen innerhalb des Flow-Daemons (flowd) ausnutzt, dazu führen, dass der srxpfe-Prozess abstürzt und neu startet. Der kontinuierliche Empfang und die Verarbeitung dieser bösartigen Pakete halten den srxpfe-Prozess in einer Absturz-Neustart-Schleife und perpetuieren den DoS-Zustand. Diese Schwachstelle wird bei der NAT64-Übersetzung ausgenutzt, wobei ein fehlerhaftes ICMPv6-Paket, das an das Gerät gerichtet ist, den Fehler auslösen kann. Die Schwere der Schwachstelle wird mit 7,5 auf der CVSS-Skala bewertet, was ein erhebliches Risiko für Organisationen darstellt, die SRX Series-Geräte mit anfälligen Junos OS-Versionen verwenden.
Die Ausnutzung von CVE-2026-33790 erfordert, dass ein Angreifer in der Lage ist, ICMPv6-Datenverkehr an das SRX Series-Gerät zu senden. Dies kann von einem internen oder externen Netzwerk aus erfolgen, abhängig von der Firewall-Konfiguration. Der Angreifer muss ein ICMPv6-Paket erstellen, das speziell darauf ausgelegt ist, den Fehler im srxpfe-Prozess auszulösen. Der Erfolg der Ausnutzung hängt von der Junos OS-Version ab, die auf dem SRX Series-Gerät ausgeführt wird; Versionen vor 25.2R1-S2 und 25.2R2 sind anfällig. NAT64 erhöht die Angriffsfläche, da es ermöglicht, dass fehlerhafte ICMPv6-Pakete, die an das Gerät gerichtet sind, verarbeitet werden, was zu Abstürzen des srxpfe führt. Die einfache Erstellung und das Senden fehlerhafter ICMPv6-Pakete machen diese Schwachstelle relativ einfach auszunutzen.
Organizations heavily reliant on Juniper SRX Series devices for network security and routing, particularly those utilizing IPv6, are at risk. Environments with exposed IPv6 networks or those lacking robust ICMPv6 filtering are especially vulnerable. Those using NAT64 translation should prioritize mitigation.
• linux / server:
journalctl -u srxpfe -f | grep crash• linux / server:
ps aux | grep srxpfe | grep -v grep• linux / server:
ss -t icmp6 -n | grep -i malformeddisclosure
Exploit-Status
EPSS
0.05% (16% Perzentil)
CISA SSVC
CVSS-Vektor
Juniper Networks empfiehlt dringend, die bereitgestellten Software-Updates anzuwenden, um diese Schwachstelle zu beheben. Die behobenen Versionen sind Junos OS 25.2R1-S2 und 25.2R2. Durch das Upgrade auf diese Versionen wird die Validierungsdefizienz im Flow-Daemon behoben, wodurch verhindert wird, dass der srxpfe-Prozess abstürzt. Wenn ein sofortiges Update nicht möglich ist, wird empfohlen, Firewall-Regeln zu implementieren, um fehlerhafte ICMPv6-Datenverkehr zu filtern oder zu blockieren. Die Überwachung der Systemprotokolle auf ungewöhnliche ICMPv6-Datenmuster kann ebenfalls dazu beitragen, potenzielle Exploitationsversuche zu erkennen und darauf zu reagieren. Die regelmäßige Überprüfung und Anwendung von Juniper Networks Sicherheitsrichtlinien ist entscheidend für den kontinuierlichen Schutz der Netzwerkinfrastruktur.
Actualice su dispositivo Juniper SRX Series a una versión de Junos OS que incluya la corrección, como 21.2R3-S10, 21.4R3-S12, 22.2R3-S8, 22.4R3-S9, 23.2R2-S6, 23.4R2-S7, 24.2R2-S3, 24.4R2-S3, 25.2R1-S2 o 25.2R2. Esta actualización mitiga la vulnerabilidad al corregir la validación de paquetes ICMPv6, previniendo el crash del proceso srxpfe.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Der Flow-Daemon ist ein Prozess in Junos OS, der Informationen über den Netzwerkverkehr zu Analysezwecken und zur Abrechnung sammelt.
NAT64 ist ein Protokoll, das es IPv6-Geräten ermöglicht, mit IPv4-Servern zu kommunizieren.
Überprüfen Sie die Junos OS-Version, die auf Ihrem SRX Series-Gerät ausgeführt wird. Wenn sie vor 25.2R1-S2 oder 25.2R2 liegt, ist sie anfällig.
Implementieren Sie Firewall-Regeln, um fehlerhaften ICMPv6-Datenverkehr zu filtern oder zu blockieren, und überwachen Sie die Systemprotokolle.
CVSS (Common Vulnerability Scoring System) ist ein Standard zur Bewertung der Schwere von Schwachstellen. Eine Punktzahl von 7,5 weist auf ein erhebliches Risiko hin.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.