An Improper Check for Unusual or Exceptional Conditions vulnerability in the packet forwarding engine (pfe) of Juniper Networks Junos OS on MX Series allows an unauthenticated, network-based attacker to bypass the configured firewall filter and access the control-plane of the device.
On MX platforms with
MPC10, MPC11, LC4800 or LC9600
line cards, and MX304, firewall filters applied on a loopback interface lo0.n (where n is a non-0 number) don't get executed when lo0.n is in the global VRF / default routing-instance.
An affected configuration would be:
user@host# show configuration interfaces lo0 | display set
set interfaces lo0 unit 1 family inet filter input <filter-name>
where a firewall filter is applied to a non-0 loopback interface, but that loopback interface is not referred to in any routing-instance (RI) configuration, which implies that it's used in the default RI.
The issue can be observed with the CLI command:
user@device> show firewall counter filter <filter_name>
not showing any matches.
This issue affects Junos OS on MX Series:
* all versions before 23.2R2-S6,
* 23.4 versions before 23.4R2-S7,
* 24.2 versions before 24.2R2,
* 24.4 versions before 24.4R2.
A vulnerability in Juniper Networks Junos OS packet forwarding engine allows unauthenticated attackers to bypass firewall filters on loopback interfaces in the default routing instance, potentially accessing the control plane. This affects MX Series devices with specific line cards where firewall rules on non-zero loopback interfaces are not properly enforced.
تؤثر هذه الثغرة على أجهزة Juniper MX Series عند تطبيق مرشحات جدار الحماية على واجهات loopback غير الصفرية في مثيل التوجيه الافتراضي. المهاجمون غير المصرح لهم يمكنهم تجاوز هذه المرشحات والوصول إلى مستوى التحكم في الجهاز. المشكلة محددة بخطوط بطاقات معينة مثل MPC10 و MPC11 و LC4800 و LC9600 و MX304.
ثغرة في محرك معالجة الحزم في نظام Juniper Junos تسمح للمهاجمين بتجاوز مرشحات جدار الحماية على واجهات loopback في مثيل التوجيه الافتراضي. يؤثر هذا على أجهزة MX Series مع بطاقات خط محددة حيث لا يتم تطبيق قواعد جدار الحماية بشكل صحيح.
Upgrade to patched Juniper Junos OS versions. Apply firewall filters to routing instances explicitly rather than relying on default routing instance. Implement access control lists at network perimeter and monitor control plane access attempts. Restrict network access to management interfaces and implement additional authentication mechanisms.
قم بالترقية إلى إصدارات Juniper Junos OS المصححة. طبق مرشحات جدار الحماية على مثيلات التوجيه بشكل صريح بدلاً من الاعتماد على مثيل التوجيه الافتراضي. طبق قوائم التحكم في الوصول على محيط الشبكة ومراقبة محاولات الوصول إلى مستوى التحكم. قيد الوصول إلى واجهات الإدارة وطبق آليات مصادقة إضافية.