Juniper Networksは、Support Insights(JSI)Virtual Lightweight Collector(vLWC)の重大な脆弱性に関する重大なセキュリティアラートを発行しました。
CVE-2026-33784として追跡されるこのデフォルト認証情報欠陥は、ほぼ最大のCVSS v3.1重要度スコア9.8を持っています。解決されないままだと、この脆弱性により、リモートの認証されていない攻撃者が影響を受けたネットワークデバイスの完全な制御を奪うことができます。
この脆弱性の根本原因は、vLWCソフトウェアが初期設定時に管理認証情報をどのように管理するかにあります。
組織が新しいvLWCソフトウェアイメージをデプロイする場合、システムは非常に特権的なアカウント用のデフォルトパスワードがプリインストールされています。
重大な障害はプロビジョニングフェーズで発生します。システムはネットワーク管理者にこの初期パスワードをデバイスを使用する前に強制的に変更させません。
デフォルトパスワードが有効なままであるため、同じネットワーク上の攻撃者は単に既知の認証情報を入力することでセキュリティバリアをバイパスできます。
ログインすると、脅威行為者は高い特権アクセスを取得し、システム構成の変更、データの傍受、または企業ネットワークの他の部分への攻撃の足がかりとしてデバイスを使用することができます。
脆弱性の範囲と影響
この欠陥の悪用にはゼロの専門的な技術スキルまたはユーザーインタラクションが必要であるため、サイバーセキュリティチームはこのアラートを優先する必要があります。ネットワーク経由でデバイスに到達できるユーザーは、パスワードが変更されないままであればログインできます。
このセキュリティ脅威に関する重要な詳細情報は以下の通りです:
- この脆弱性はリリース3.0.94より前のvLWCソフトウェアのすべてのバージョンに影響します。
- CVSS v3.1スコア9.8およびCVSS v4.0スコア9.3を保有しています。
- この欠陥はJuniperによって内部的にJDEF-1032として追跡されています。
- この問題は内部製品セキュリティテスト中に発見されました。
- Juniper SIRTは現在、野外での能動的な悪用の証拠がないことを確認しています。
この脆弱性を永久に解決するために、Juniper Networksは管理者に、vLWCデプロイメントをソフトウェアリリース3.0.94以降のバージョンにアップグレードするよう促しています。
パッチ適用されたリリースは、プロビジョニングプロセスを更新して、管理認証情報を適切に処理します。
ソフトウェアアップデートをすぐに適用できない組織の場合、簡単な回避策が利用可能です。管理者はデフォルトパスワードを手動で変更することで、脅威を完全に中和できます。
デバイスのセットアップメニューにログインし、JSIシェルを通じてネットワーク設定を構成することでこれを行うことができます。
デフォルト認証情報を強力で一意のパスワードに置き換えることにより、防御者は無許可のアクセスを防ぎ、公式パッチが適用されるまでネットワーク環境をセキュアに保つことができます。
翻訳元: https://gbhackers.com/juniper-networks-default-credential-vulnerability/
