An Improper Validation of Syntactic Correctness of Input vulnerability in the IPsec library used by kmd and iked of Juniper Networks Junos OS on SRX Series and MX Series allows an unauthenticated, network-based attacker to cause a complete Denial-of-Service (DoS).
If an affected device receives a specifically malformed first ISAKMP packet from the initiator, the kmd/iked process will crash and restart, which momentarily prevents new security associations (SAs) for from being established. Repeated exploitation of this vulnerability causes a complete inability to establish new VPN connections.
This issue affects Junos OS on
SRX Series and MX Series:
* all versions before 22.4R3-S9,
* 23.2 version before 23.2R2-S6,
* 23.4 version before 23.4R2-S7,
* 24.2 versions before 24.2R2-S4,
* 24.4 versions before 24.4R2-S3,
* 25.2 versions before 25.2R1-S2, 25.2R2.
A vulnerability in Juniper Networks Junos OS IPsec library allows unauthenticated attackers to cause denial-of-service by sending malformed ISAKMP packets, crashing the kmd/iked process and preventing VPN connections. Repeated exploitation results in complete inability to establish new security associations on affected SRX and MX Series devices.
ثغرة في التحقق من صحة الإدخال في مكتبة IPsec المستخدمة في عمليات kmd و iked في أجهزة Juniper SRX و MX Series. يمكن لمهاجم غير مصرح له على الشبكة إرسال حزمة ISAKMP معيبة لإحداث انهيار العملية ومنع إنشاء اتصالات VPN جديدة. الاستغلال المتكرر يؤدي إلى فقدان كامل لوظيفة VPN.
ثغرة في مكتبة IPsec في نظام Juniper Junos تسمح للمهاجمين غير المصرح لهم بإحداث رفض الخدمة عن طريق إرسال حزم ISAKMP معيبة. الاستغلال المتكرر يؤدي إلى عدم القدرة الكاملة على إنشاء اتصالات VPN جديدة على أجهزة SRX و MX Series المتأثرة.
Update affected Junos OS versions to patched releases: SRX/MX Series to 22.4R3-S9 or later, 23.2R2-S6 or later, 23.4R2-S7 or later, 24.2R2-S4 or later, 24.4R2-S3 or later, or 25.2R1-S2/25.2R2. Implement network-based access controls to restrict ISAKMP traffic from untrusted sources. Monitor kmd/iked process stability and configure alerts for repeated crashes.
تحديث إصدارات Junos OS المتأثرة إلى الإصدارات المصححة المذكورة أعلاه. تطبيق عناصر تحكم الوصول على مستوى الشبكة لتقييد حركة ISAKMP من المصادر غير الموثوقة. مراقبة استقرار عملية kmd/iked وتكوين تنبيهات لحالات الأعطال المتكررة.