Platform
juniper
Component
juniper-junos
Opgelost in
21.2R3-S10
21.4R3-S12
22.2R3-S8
22.4R3-S9
23.2R2-S6
23.4R2-S7
24.2R2-S3
24.4R2-S3
25.2R1-S2, 25.2R2
21.3*
22.1*
22.3*
CVE-2026-33790 beschrijft een kwetsbaarheid in de flow daemon (flowd) van Juniper Networks Junos OS, specifiek op SRX Series apparaten. Een aanvaller kan een Denial of Service (DoS) veroorzaken door een specifiek, vervalst ICMPv6 pakket te versturen, wat resulteert in het crashen en herstarten van het srxpfe proces. Deze kwetsbaarheid treedt op in versies 0.0.0–25.2R1-S2 en 25.2R2, maar is verholpen in 25.2R1-S2 en 25.2R2.
CVE-2026-33790 in Junos OS heeft invloed op SRX Series-apparaten, waardoor een aanvaller een Denial of Service (DoS) kan veroorzaken door malformeerde ICMPv6-pakketten te verzenden. Specifiek kan een speciaal ontworpen ICMPv6-pakket dat een gebrek aan validatie van ongebruikelijke of uitzonderlijke omstandigheden binnen de flow daemon (flowd) misbruikt, ervoor zorgen dat het srxpfe-proces crasht en opnieuw start. Het voortdurend ontvangen en verwerken van deze kwaadaardige pakketten houdt het srxpfe-proces in een crash-restart lus en handhaaft de DoS-conditie. Deze kwetsbaarheid wordt uitgebuit tijdens NAT64-vertaling, waarbij een malformeerd ICMPv6-pakket dat bestemd is voor het apparaat, de fout kan triggeren. De ernst van de kwetsbaarheid wordt beoordeeld op 7,5 op de CVSS-schaal, wat een aanzienlijk risico vormt voor organisaties die SRX Series-apparaten gebruiken met kwetsbare Junos OS-versies.
Het exploiteren van CVE-2026-33790 vereist dat een aanvaller in staat is om ICMPv6-verkeer naar het SRX Series-apparaat te sturen. Dit kan worden bereikt vanaf een intern of extern netwerk, afhankelijk van de firewallconfiguratie. De aanvaller moet een ICMPv6-pakket creëren dat speciaal is ontworpen om de fout in het srxpfe-proces te triggeren. Het succes van de exploitatie is afhankelijk van de Junos OS-versie die op het SRX Series-apparaat wordt uitgevoerd; versies vóór 25.2R1-S2 en 25.2R2 zijn kwetsbaar. NAT64 vergroot het aanvalsoppervlak, omdat het mogelijk maakt dat malformeerde ICMPv6-pakketten die bestemd zijn voor het apparaat, worden verwerkt, wat leidt tot srxpfe-crashes. De eenvoud van het creëren en verzenden van malformeerde ICMPv6-pakketten maakt deze kwetsbaarheid relatief gemakkelijk te exploiteren.
Organizations heavily reliant on Juniper SRX Series devices for network security and routing, particularly those utilizing IPv6, are at risk. Environments with exposed IPv6 networks or those lacking robust ICMPv6 filtering are especially vulnerable. Those using NAT64 translation should prioritize mitigation.
• linux / server:
journalctl -u srxpfe -f | grep crash• linux / server:
ps aux | grep srxpfe | grep -v grep• linux / server:
ss -t icmp6 -n | grep -i malformeddisclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
Juniper Networks raadt ten zeerste aan om de aangeboden software-updates toe te passen om deze kwetsbaarheid te verhelpen. De gepatchte versies zijn Junos OS 25.2R1-S2 en 25.2R2. Het upgraden naar deze versies pakt het validatiegebrek in de flow daemon aan, waardoor wordt voorkomen dat het srxpfe-proces crasht. Als een onmiddellijke update niet mogelijk is, wordt het aanbevolen om firewallregels te implementeren om malformeerde ICMPv6-verkeer te filteren of te blokkeren. Het monitoren van systeemlogboeken op ongebruikelijke ICMPv6-verkeerspatronen kan ook helpen bij het detecteren en reageren op mogelijke exploitatiepogingen. Het regelmatig beoordelen en toepassen van Juniper Networks beveiligingsadviezen is cruciaal voor de voortdurende bescherming van de netwerkinfrastructuur.
Actualice su dispositivo Juniper SRX Series a una versión de Junos OS que incluya la corrección, como 21.2R3-S10, 21.4R3-S12, 22.2R3-S8, 22.4R3-S9, 23.2R2-S6, 23.4R2-S7, 24.2R2-S3, 24.4R2-S3, 25.2R1-S2 o 25.2R2. Esta actualización mitiga la vulnerabilidad al corregir la validación de paquetes ICMPv6, previniendo el crash del proceso srxpfe.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
De flow daemon is een proces in Junos OS dat informatie over het netwerkverkeer verzamelt voor analyse- en accountingdoeleinden.
NAT64 is een protocol dat IPv6-apparaten in staat stelt om met IPv4-servers te communiceren.
Controleer de Junos OS-versie die op uw SRX Series-apparaat wordt uitgevoerd. Als deze vóór 25.2R1-S2 of 25.2R2 ligt, is deze kwetsbaar.
Implementeer firewallregels om malformeerde ICMPv6-verkeer te filteren of te blokkeren en monitor de systeemlogboeken.
CVSS (Common Vulnerability Scoring System) is een standaard voor het beoordelen van de ernst van kwetsbaarheden. Een score van 7,5 duidt op een aanzienlijk risico.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.