Plateforme
juniper
Composant
juniper-junos
Corrigé dans
21.2R3-S10
21.4R3-S12
22.2R3-S8
22.4R3-S9
23.2R2-S6
23.4R2-S7
24.2R2-S3
24.4R2-S3
25.2R1-S2, 25.2R2
21.3*
22.1*
22.3*
La vulnérabilité CVE-2026-33790 est une faille de type Improper Check for Unusual or Exceptional Conditions affectant le démon flowd de Junos OS sur les équipements SRX Series de Juniper Networks. L'exploitation de cette vulnérabilité permet à un attaquant d'envoyer un paquet ICMPv6 malformé, provoquant le crash et le redémarrage du processus srxpfe, ce qui peut entraîner une condition de déni de service (DoS) persistante. Les versions concernées sont 0.0.0–25.2R1-S2 et 25.2R2. Une correction est disponible dans les versions 25.2R1-S2 et 25.2R2.
La vulnérabilité CVE-2026-33790 dans Junos OS affecte les appareils SRX Series, permettant à un attaquant de provoquer une déni de service (DoS) en envoyant des paquets ICMPv6 malformés. Plus précisément, un paquet ICMPv6 conçu pour exploiter un manque de validation des conditions inhabituelles ou exceptionnelles au sein du démon de flux (flowd) peut provoquer le plantage et le redémarrage du processus srxpfe. La réception et le traitement continus de ces paquets malveillants maintiennent le processus srxpfe dans une boucle de plantage et de redémarrage, perpétuant la condition de DoS. Cette vulnérabilité est exploitée lors de la traduction NAT64, où un paquet ICMPv6 malformé destiné à l'appareil peut déclencher la défaillance. La gravité de la vulnérabilité est notée à 7,5 sur l'échelle CVSS, ce qui indique un risque important pour les organisations utilisant des appareils SRX Series avec des versions vulnérables de Junos OS.
L'exploitation de la CVE-2026-33790 nécessite qu'un attaquant soit capable d'envoyer du trafic ICMPv6 à l'appareil SRX Series. Cela peut être réalisé à partir d'un réseau interne ou externe, en fonction de la configuration du pare-feu. L'attaquant doit créer un paquet ICMPv6 spécialement conçu pour déclencher la défaillance du processus srxpfe. Le succès de l'exploitation dépend de la version de Junos OS en cours d'exécution sur l'appareil SRX Series ; les versions antérieures à 25.2R1-S2 et 25.2R2 sont vulnérables. Le NAT64 augmente la surface d'attaque, car il permet aux paquets ICMPv6 malformés destinés à l'appareil d'être traités, ce qui entraîne des plantages du srxpfe. La facilité de création et d'envoi de paquets ICMPv6 malformés rend cette vulnérabilité relativement facile à exploiter.
Organizations heavily reliant on Juniper SRX Series devices for network security and routing, particularly those utilizing IPv6, are at risk. Environments with exposed IPv6 networks or those lacking robust ICMPv6 filtering are especially vulnerable. Those using NAT64 translation should prioritize mitigation.
• linux / server:
journalctl -u srxpfe -f | grep crash• linux / server:
ps aux | grep srxpfe | grep -v grep• linux / server:
ss -t icmp6 -n | grep -i malformeddisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
Juniper Networks recommande fortement d'appliquer les mises à jour logicielles fournies pour atténuer cette vulnérabilité. Les versions corrigées sont Junos OS 25.2R1-S2 et 25.2R2. La mise à niveau vers ces versions corrige la carence de validation dans le démon de flux, empêchant le processus srxpfe de planter. Si les mises à jour immédiates ne sont pas possibles, il est recommandé de mettre en œuvre des règles de pare-feu pour filtrer ou bloquer le trafic ICMPv6 malformé. La surveillance des journaux système à la recherche de schémas de trafic ICMPv6 inhabituels peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles. Il est essentiel de revoir et d'appliquer régulièrement les avis de sécurité de Juniper Networks pour une protection continue de l'infrastructure réseau.
Actualice su dispositivo Juniper SRX Series a una versión de Junos OS que incluya la corrección, como 21.2R3-S10, 21.4R3-S12, 22.2R3-S8, 22.4R3-S9, 23.2R2-S6, 23.4R2-S7, 24.2R2-S3, 24.4R2-S3, 25.2R1-S2 o 25.2R2. Esta actualización mitiga la vulnerabilidad al corregir la validación de paquetes ICMPv6, previniendo el crash del proceso srxpfe.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le démon de flux est un processus dans Junos OS qui collecte des informations sur le trafic réseau à des fins d'analyse et de comptabilité.
NAT64 est un protocole qui permet aux appareils IPv6 de communiquer avec les serveurs IPv4.
Vérifiez la version de Junos OS en cours d'exécution sur votre appareil SRX Series. Si elle est antérieure à 25.2R1-S2 ou 25.2R2, il est vulnérable.
Mettez en œuvre des règles de pare-feu pour filtrer ou bloquer le trafic ICMPv6 malformé et surveillez les journaux système.
CVSS (Common Vulnerability Scoring System) est un standard pour évaluer la gravité des vulnérabilités. Un score de 7,5 indique un risque important.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.