Juniper Networksは今週、権限昇格、サービス拒否(DoS)、およびコマンド実行につながる可能性のあるJunos OSおよびJunos OS Evolvedのバグを含む、およそ3ダースの脆弱性に対するパッチをリリースしました。
最も深刻な脆弱性はCVE-2026-33784(CVSSスコア9.8)で、Support Insights(JSI)Virtual Lightweight Collector(vLWC)のデフォルトパスワードで、これは脆弱なデバイスを乗っ取るためにリモートから悪用される可能性があります。
「vLWCソフトウェアイメージには、高い権限を持つアカウントの初期パスワードが付属しています。ソフトウェアのプロビジョニング中に、このパスワードの変更は強制されないため、許可されていないアクターによるシステムへの完全なアクセスが可能になる可能性があります」とJuniper Networksは説明しています。
Juniper Networksはまた、リモートの未認証攻撃者がデバイスを完全に制御する可能性のあるCTP OSの弱いパスワードの問題を解決しました。
CVE-2026-33771として追跡されているこのセキュリティ欠陥は、パスワード複雑性要件に関連する設定が保存されていないため存在し、推測されて悪用される可能性のある弱いパスワードの使用につながります。
Juniper Networks Apstraの重大度の高いSSHホストキー検証脆弱性は、中間者(MITM)攻撃でユーザー認証情報をキャプチャするために悪用される可能性があります。
Junos OSの複数の重大度の高い欠陥は、細工されたパケットを介してDoS状態を引き起こし、デバイスにインストールされたFPCに直接アクセスし、ルート権限を取得してデバイスを乗っ取り、管理対象デバイスを危険にさらすコマンドを実行することを攻撃者に許可する可能性があります。
今週対処された残りのセキュリティ欠陥は、攻撃者がDoS状態を引き起こし、昇格された権限でコマンドを実行し、ルート権限を取得し、ダウンストリームネットワークの完全性に影響を与え、機密情報を読み取り、設定されたファイアウォールフィルターをバイパスするか、ルートとして任意のシェルコマンドを挿入することを許可する可能性のある中程度の深刻度の欠陥です。
Juniper Networksは、これらの脆弱性のいずれかが野生で悪用されていることを認識していません。追加情報は、会社のサポートポータルにあります。
翻訳元: https://www.securityweek.com/juniper-networks-patches-dozens-of-junos-os-vulnerabilities/
