Juniper Networks выпустила крупный пакет обновлений безопасности и закрыла почти три десятка уязвимостей в своих продуктах. Речь идет прежде всего о Junos OS и Junos OS Evolved — это операционные системы, которые используются в маршрутизаторах, коммутаторах и другом сетевом оборудовании компании. Исправленные ошибки могли приводить к повышению привилегий, отказу в обслуживании и выполнению команд на устройстве.
Самая опасная уязвимость в этой волне получила идентификатор CVE-2026-33784 и оценку 9,3 балла по шкале CVSS. Она затрагивает Support Insights Virtual Lightweight Collector — вспомогательный виртуальный компонент Juniper для сбора диагностических данных. Проблема связана с тем, что в поставляемом образе использовался начальный пароль для привилегированной учетной записи, а обязательной смены этого пароля при развертывании не было. В результате злоумышленник мог удаленно получить полный доступ к уязвимой системе.
Читайте также: Kali Linux 2026.1 вышла официально: новая тема, режим BackTrack, восемь новых инструментов и обновления NetHunter
В той же серии исправлений Juniper закрыла еще одну заметную проблему — CVE-2026-33771 в CTP OS. По данным бюллетеня компании, настройки требований к сложности пароля не сохранялись должным образом. Это позволяло использовать слабые пароли, которые можно подобрать, а затем получить контроль над устройством. Формально в оценке CVSS v3.1 уязвимость получила 7,4 балла, но по CVSS v4.0 — уже 9,1.
Отдельно Juniper исправила уязвимость в Apstra — платформе для управления и автоматизации сетевой инфраструктуры. Речь идет о некорректной проверке SSH-ключа узла, из-за чего возможна атака по схеме «человек посередине», когда злоумышленник подменяет узел в канале связи и пытается перехватить учетные данные. В новом релизе Apstra компания ввела поведение по принципу «доверять при первом подключении» и отклонение соединения, если ранее известный ключ узла изменился.
Читайте также: Apple выпустила iOS 26.4, macOS 26.4 и Safari 26.4 с большим пакетом исправлений безопасности
Среди собственно уязвимостей в Junos OS Juniper и профильные издания выделяют несколько опасных сценариев. Один из них — CVE-2026-33785 в CLI-интерфейсе на MX Series: локальный пользователь с низкими правами мог выполнить определенные команды и фактически добиться полной компрометации управляемого устройства. Juniper оценила эту уязвимость в 8,8 балла по CVSS v3.1.
Еще часть исправлений касается отказа в обслуживании, то есть ситуаций, когда устройство не захватывают целиком, но выводят из нормальной работы. Например, в январских бюллетенях Juniper уже описывала уязвимости, при которых специально сформированные SIP-, TCP-, ICMP- или BGP-пакеты могли приводить к сбою процессов flowd, rpd или перезапуску модулей FPC. Такие сценарии особенно неприятны для операторских и корпоративных сетей, потому что бьют по доступности сервиса.
Juniper в ряде бюллетеней указывает конкретные исправленные ветки. Например, для одной из проблем в Junos OS компания называет версии 20.2R3-S10, 21.2R3-S9, 21.4R3-S10, 22.2R3-S7, 22.3R3-S4, 22.4R3-S5, 23.2R2-S3, 23.4R2-S3, 24.2R1-S2, 24.2R2, 24.4R1 и все последующие выпуски. Это полезный ориентир для администраторов: одного сообщения «обновитесь» недостаточно, нужно сверять свою ветку с конкретным бюллетенем Juniper.
На момент публикации компания заявила, что не располагает данными об эксплуатации этих уязвимостей в реальных атаках. Это хорошая новость, но она не отменяет срочности обновления: часть найденных ошибок допускает удаленную атаку без аутентификации, а часть — полный захват устройства или выполнение команд с повышенными правами. Для сетевого оборудования такие риски особенно чувствительны, потому что компрометация пограничного или магистрального узла обычно дает злоумышленнику доступ не к одному серверу, а к целому сегменту инфраструктуры.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
