Juniperネットワークスは、Support Insights Virtual Lightweight Collector(vLWC)に影響する重大なセキュリティ脆弱性を開示し、この欠陥が攻撃者に影響を受けたデバイスの完全な管理者権限を獲得させる可能性があることを警告しました。
CVE-2026-33784として追跡されるこの脆弱性は、初期システムプロビジョニング中に変更を強制されないデフォルト認証情報の使用に由来しています。
CVSS v3.1スコア9.8が割り当てられており、この問題は悪用の容易さと企業ネットワークへの潜在的な影響のため、極めて深刻と考えられています。
欠陥の根本的な原因は、vLWCソフトウェアが配置時に管理者認証情報を処理する方法の設定ミスにあります。
組織が新しいvLWCインスタンスをインストールする場合、システムには特権アカウントに関連付けられた事前設定されたデフォルトパスワードが付属しています。
重要な点として、セットアップ処理ではシステムが運用可能になる前に管理者がこのパスワードを変更することを要求していません。
この見落としは重大なセキュリティギャップを生じています。デフォルト認証情報が変更されないままの場合、デバイスへのネットワークアクセスを持つ任意の攻撃者が公開されているログイン詳細を使用して認証できます。
特殊なスキルやユーザーの操作は必要なく、この脆弱性は内部ネットワークアクセスが広い企業環境では特に危険です。
認証されると、攻撃者はシステムへの高い権限アクセスを獲得します。このレベルの制御により、脅威アクターは設定を操作し、機密データを監視または傍受し、ネットワークへさらに深く侵入する可能性があります。
複雑なインフラストラクチャでは、侵害されたデバイスは横方向の移動またはさらなる悪用のためのエントリーポイントとして機能する可能性があります。
この脆弱性は3.0.94より前のすべてのvLWCソフトウェアバージョンに影響します。Juniperは内部的にこの問題をJDEF-1032として追跡しており、定期的な製品セキュリティテスト中に識別されたことを確認しています。
現在のところ、同社は野生での積極的な悪用の証拠がないと述べていますが、攻撃ベクトルの単純さのため、リスクは依然として高い状態にあります。
セキュリティチームはこの脆弱性を優先事項として扱うべきです。特にvLWCインスタンスが共有またはセグメント化が少ないネットワークに露出している環境では。
デフォルト認証情報の問題は歴史的に攻撃者の一般的なエントリーポイントであり、このケースは不安全な配置実施に関連するリスクを強調しています。
問題に対処するため、Juniperネットワークスはソフトウェアのパッチ版をリリースしました。組織は強くvLWCリリース3.0.94以降にアップグレードすることが推奨されます。そこではプロビジョニングワークフローが更新され、適切な認証情報処理を強制し、デフォルトパスワードへの依存を排除しています。
すぐにアップデートを適用できない組織のため、軽減策の回避方法が利用可能です。
管理者はJSI Shellを介してデバイスのセットアップインターフェイスにアクセスすることで、デフォルトパスワードを手動で変更できます。
デフォルト認証情報を強力でユニークなパスワードに置き換えることで、不正アクセスの試行を効果的にブロックし、パッチが完了するまで曝露を軽減します。
このインシデントは、特に初期配置段階での安全な設定実施の継続的な重要性を強調しています。
最新のネットワークアプライアンスでも、見落とされたデフォルト設定はより広いセキュリティ制御を損なう重大な脆弱性を導入する可能性があります。
Juniperのサポートインサイトプラットフォームを活用している組織は、直ちに展開を監査し、認証情報設定を確認し、潜在的な侵害を防ぐために必要なアップデートを適用すべきです。