Plateforme
juniper
Composant
juniper-junos-os-evolved
Corrigé dans
22.4R3-S9-EVO
23.2R2-S6-EVO
23.4R2-S7-EVO
24.2R2-S4-EVO
24.4R2-S2-EVO
25.2R1-S2-EVO, 25.2R2-EVO
La vulnérabilité CVE-2026-33783 est une faille de type Function Call With Incorrect Argument Type affectant l'interface de capteur de Juniper Networks Junos OS Evolved sur les séries PTX. Cette faille permet à un attaquant réseau authentifié disposant de privilèges limités de provoquer un déni de service complet (DoS). Le problème se manifeste lorsque des tunnels de stratégie SRTE colorés sont provisionnés via PCEP et que gRPC est utilisé pour surveiller le trafic dans ces tunnels, entraînant un crash et un non-redémarrage de evo-aftmand. Les versions concernées sont 0.0.0–25.2R1-S2-EVO et 25.2R2-EVO, et une correction est disponible pour ces versions.
La vulnérabilité CVE-2026-33783 dans Junos OS Evolved affecte les appareils de la série PTX et peut entraîner une déni de service (DoS) complet. Un attaquant authentifié, basé sur le réseau et disposant de privilèges limités, peut exploiter cette vulnérabilité. Plus précisément, la défaillance se produit lorsque des tunnels de stratégie SRTE colorés sont provisionnés via PCEP et que gRPC est utilisé pour surveiller le trafic dans ces tunnels. Cela provoque le plantage de evo-aftmand et empêche son redémarrage, ce qui entraîne un impact persistant sur le service. La récupération nécessite un redémarrage manuel du système, ce qui peut avoir un impact significatif sur la disponibilité du réseau.
Cette vulnérabilité est exploitée par le biais d'un appel de fonction avec un type d'argument incorrect dans l'interface du capteur. Un attaquant authentifié disposant de privilèges limités peut envoyer des données malveillantes via PCEP et gRPC, ce qui déclenche la défaillance de evo-aftmand. L'authentification est requise, ce qui limite la portée de l'exploitation aux utilisateurs ou aux systèmes qui ont déjà un accès au réseau. L'impact est important en raison du déni de service complet et persistant, qui nécessite une intervention manuelle pour la récupération. La configuration de tunnels SRTE colorés avec une surveillance gRPC augmente le risque d'exploitation.
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
Juniper Networks recommande de mettre à niveau vers la version Junos OS Evolved 25.2R1-S2-EVO ou 25.2R2-EVO pour atténuer cette vulnérabilité. Ces versions incluent les correctifs nécessaires pour empêcher le plantage de evo-aftmand. En attendant, évitez d'utiliser des tunnels de stratégie SRTE colorés provisionnés via PCEP si gRPC est utilisé pour la surveillance. Surveillez régulièrement les avis de sécurité de Juniper et appliquez les mises à jour de sécurité dès qu'elles sont disponibles. L'application opportune des correctifs est essentielle pour maintenir la sécurité et la stabilité du réseau.
Actualice Junos OS Evolved en los dispositivos PTX Series a la versión 22.4R3-S9-EVO o posterior, 23.2R2-S6-EVO o posterior, 23.4R2-S7-EVO o posterior, 24.2R2-S4-EVO o posterior, 24.4R2-S2-EVO o posterior, o 25.2R1-S2-EVO o 25.2R2-EVO para mitigar la vulnerabilidad. Verifique la documentación de Juniper Networks para obtener instrucciones detalladas de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
evo-aftmand est un processus crucial dans Junos OS Evolved responsable de la gestion et de la surveillance des tunnels de trafic. Son plantage perturbe les opérations réseau.
Il s'agit d'une technique de segmentation du trafic qui utilise des couleurs pour différencier les flux de trafic dans les tunnels SRTE (Segment Routing Traffic Engineering).
PCEP (Path Computation Element Protocol) est utilisé pour calculer les routes de trafic. gRPC est un framework de communication haute performance utilisé pour la surveillance du trafic.
Évitez d'utiliser des tunnels de stratégie SRTE colorés avec une surveillance gRPC jusqu'à ce que vous puissiez mettre à niveau. Surveillez de près votre réseau pour détecter toute activité suspecte.
Non, il n'y a actuellement pas d'avertissement anticipé Juniper (KEV) publié pour cette vulnérabilité. Cependant, il est recommandé de rester informé des avis de sécurité de Juniper.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.