Plataforma
juniper
Componente
juniper-junos
Corrigido em
21.2R3-S10
21.4R3-S12
22.2R3-S8
22.4R3-S9
23.2R2-S6
23.4R2-S7
24.2R2-S3
24.4R2-S3
25.2R1-S2, 25.2R2
21.3*
22.1*
22.3*
A vulnerabilidade CVE-2026-33790 reside no daemon de fluxo (flowd) do Junos OS da Juniper Networks, especificamente nas séries SRX. Um atacante pode explorar esta falha enviando pacotes ICMPv6 malformados, levando ao crash e reinicialização do processo srxpfe, resultando em uma condição de Negação de Serviço (DoS). Essa vulnerabilidade afeta as versões 0.0.0–25.2R1-S2 e 25.2R2, sendo que a Juniper Networks já disponibilizou correções para estas versões.
A vulnerabilidade CVE-2026-33790 no Junos OS afeta os dispositivos SRX Series, permitindo que um atacante cause uma negação de serviço (DoS) enviando pacotes ICMPv6 malformados. Especificamente, um pacote ICMPv6 criado para explorar a falta de validação de condições incomuns ou excepcionais dentro do daemon de fluxo (flowd) pode fazer com que o processo srxpfe trave e reinicie. O recebimento contínuo e o processamento desses pacotes maliciosos mantêm o processo srxpfe em um loop de travamento e reinicialização, perpetuando a condição de DoS. Essa vulnerabilidade é explorada durante a tradução NAT64, onde um pacote ICMPv6 malformado destinado ao dispositivo pode acionar a falha. A gravidade da vulnerabilidade é classificada como 7,5 na escala CVSS, indicando um risco significativo para as organizações que utilizam dispositivos SRX Series com versões vulneráveis do Junos OS.
A exploração da CVE-2026-33790 requer que um atacante seja capaz de enviar tráfego ICMPv6 para o dispositivo SRX Series. Isso pode ser alcançado a partir de uma rede interna ou externa, dependendo da configuração do firewall. O atacante precisa criar um pacote ICMPv6 projetado especificamente para acionar a falha no processo srxpfe. O sucesso da exploração depende da versão do Junos OS em execução no dispositivo SRX Series; as versões anteriores a 25.2R1-S2 e 25.2R2 são vulneráveis. O NAT64 aumenta a superfície de ataque, pois permite que pacotes ICMPv6 malformados destinados ao dispositivo sejam processados, levando a travamentos do srxpfe. A facilidade de criar e enviar pacotes ICMPv6 malformados torna esta vulnerabilidade relativamente fácil de explorar.
Organizations heavily reliant on Juniper SRX Series devices for network security and routing, particularly those utilizing IPv6, are at risk. Environments with exposed IPv6 networks or those lacking robust ICMPv6 filtering are especially vulnerable. Those using NAT64 translation should prioritize mitigation.
• linux / server:
journalctl -u srxpfe -f | grep crash• linux / server:
ps aux | grep srxpfe | grep -v grep• linux / server:
ss -t icmp6 -n | grep -i malformeddisclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A Juniper Networks recomenda fortemente a aplicação das atualizações de software fornecidas para mitigar esta vulnerabilidade. As versões corrigidas são Junos OS 25.2R1-S2 e 25.2R2. A atualização para essas versões aborda a deficiência de validação no daemon de fluxo, impedindo que o processo srxpfe trave. Se as atualizações imediatas não forem possíveis, é recomendável implementar regras de firewall para filtrar ou bloquear o tráfego ICMPv6 malformado. Monitorar os logs do sistema em busca de padrões incomuns de tráfego ICMPv6 também pode ajudar a detectar e responder a tentativas de exploração potenciais. Revisar e aplicar regularmente os avisos de segurança da Juniper Networks é crucial para a proteção contínua da infraestrutura de rede.
Actualice su dispositivo Juniper SRX Series a una versión de Junos OS que incluya la corrección, como 21.2R3-S10, 21.4R3-S12, 22.2R3-S8, 22.4R3-S9, 23.2R2-S6, 23.4R2-S7, 24.2R2-S3, 24.4R2-S3, 25.2R1-S2 o 25.2R2. Esta actualización mitiga la vulnerabilidad al corregir la validación de paquetes ICMPv6, previniendo el crash del proceso srxpfe.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
O daemon de fluxo é um processo no Junos OS que coleta informações sobre o tráfego de rede para fins de análise e contabilidade.
NAT64 é um protocolo que permite que dispositivos IPv6 se comuniquem com servidores IPv4.
Verifique a versão do Junos OS que está sendo executada no seu dispositivo SRX Series. Se for anterior a 25.2R1-S2 ou 25.2R2, ele é vulnerável.
Implemente regras de firewall para filtrar ou bloquear o tráfego ICMPv6 malformado e monitore os logs do sistema.
CVSS (Common Vulnerability Scoring System) é um padrão para avaliar a gravidade das vulnerabilidades. Uma pontuação de 7,5 indica um risco significativo.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.