プラットフォーム
juniper
コンポーネント
juniper-junos
修正版
21.2R3-S10
21.4R3-S12
22.2R3-S8
22.4R3-S9
23.2R2-S6
23.4R2-S7
24.2R2-S3
24.4R2-S3
25.2R1-S2, 25.2R2
21.3*
22.1*
22.3*
CVE-2026-33790 は、Juniper Networks Junos OS の SRX シリーズで使用されている flow daemon (flowd) における脆弱性です。特定の悪意のある ICMPv6 パケットを送信することで、srxpfe プロセスがクラッシュし、再起動を引き起こす可能性があります。この脆弱性は、NAT64 翻訳中に特に問題となり、継続的にパケットを受信・処理すると、srxpfe プロセスが繰り返しクラッシュし、DoS 状態が持続します。影響を受けるバージョンは 0.0.0–25.2R1-S2 および 25.2R2 であり、25.2R1-S2, 25.2R2 で修正されています。
Junos OS の CVE-2026-33790 は、SRX シリーズ デバイスに影響を与え、攻撃者が不正な ICMPv6 パケットを送信することで、サービス拒否 (DoS) 状態を引き起こすことを可能にします。具体的には、フロー デーモン (flowd) 内の異常または例外的な条件の検証の欠陥を利用するように設計された ICMPv6 パケットは、srxpfe プロセスがクラッシュして再起動する原因となります。これらの悪意のあるパケットの継続的な受信と処理により、srxpfe プロセスはクラッシュと再起動のループに陥り、DoS 状態が永続化されます。この脆弱性は、NAT64 変換中に悪用され、デバイス宛ての不正な ICMPv6 パケットを受信すると、エラーが発生する可能性があります。この脆弱性の重大度は、CVSS スケールで 7.5 と評価されており、脆弱な Junos OS バージョンの SRX シリーズ デバイスを使用している組織にとって重大なリスクを示しています。
CVE-2026-33790 の悪用には、攻撃者が SRX シリーズ デバイスに ICMPv6 トラフィックを送信できる必要があります。これは、ファイアウォール構成に応じて、内部ネットワークまたは外部ネットワークから実現できます。攻撃者は、srxpfe プロセスでエラーをトリガーするように特別に設計された ICMPv6 パケットを作成する必要があります。悪用の成功は、SRX シリーズ デバイスで実行されている Junos OS のバージョンに依存します。25.2R1-S2 および 25.2R2 以前のバージョンが脆弱です。NAT64 は、デバイス宛ての不正な ICMPv6 パケットが処理されることを可能にするため、攻撃対象領域を拡大します。これにより、srxpfe のクラッシュが発生します。不正な ICMPv6 パケットを作成および送信する容易さにより、この脆弱性は比較的簡単に悪用できます。
Organizations heavily reliant on Juniper SRX Series devices for network security and routing, particularly those utilizing IPv6, are at risk. Environments with exposed IPv6 networks or those lacking robust ICMPv6 filtering are especially vulnerable. Those using NAT64 translation should prioritize mitigation.
• linux / server:
journalctl -u srxpfe -f | grep crash• linux / server:
ps aux | grep srxpfe | grep -v grep• linux / server:
ss -t icmp6 -n | grep -i malformeddisclosure
エクスプロイト状況
EPSS
0.05% (16% パーセンタイル)
CISA SSVC
CVSS ベクトル
Juniper Networks は、この脆弱性を軽減するために、提供されているソフトウェア更新を適用することを強くお勧めします。修正されたバージョンは、Junos OS 25.2R1-S2 および 25.2R2 です。これらのバージョンにアップグレードすると、フロー デーモンの検証の欠陥が修正され、srxpfe プロセスがクラッシュするのを防ぎます。直ちに更新が不可能な場合は、不正な ICMPv6 トラフィックをフィルタリングまたはブロックするためのファイアウォール ルールを実装することをお勧めします。システム ログの異常な ICMPv6 トラフィック パターンを監視することも、潜在的な悪用試行を検出して対応するのに役立ちます。ネットワーク インフラストラクチャの継続的な保護のために、Juniper Networks のセキュリティ アドバイザリを定期的に確認し、適用することが重要です。
Actualice su dispositivo Juniper SRX Series a una versión de Junos OS que incluya la corrección, como 21.2R3-S10, 21.4R3-S12, 22.2R3-S8, 22.4R3-S9, 23.2R2-S6, 23.4R2-S7, 24.2R2-S3, 24.4R2-S3, 25.2R1-S2 o 25.2R2. Esta actualización mitiga la vulnerabilidad al corregir la validación de paquetes ICMPv6, previniendo el crash del proceso srxpfe.
脆弱性分析と重要アラートをメールでお届けします。
フロー デーモンは、Junos OS 内のプロセスであり、分析およびアカウンティングの目的でネットワーク トラフィックに関する情報を収集します。
NAT64 は、IPv6 デバイスが IPv4 サーバーと通信できるようにするプロトコルです。
SRX シリーズ デバイスで実行されている Junos OS のバージョンを確認してください。25.2R1-S2 または 25.2R2 より前の場合は、脆弱です。
不正な ICMPv6 トラフィックをフィルタリングまたはブロックするためのファイアウォール ルールを実装し、システム ログを監視してください。
CVSS (Common Vulnerability Scoring System) は、脆弱性の重大度を評価するための標準です。7.5 のスコアは、重大なリスクを示します。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。