A Missing Authorization vulnerability in the CLI of Juniper Networks Junos OS on MX Series allows a local, authenticated user with low privileges to execute specific commands which will lead to a complete compromise of managed devices.
Any user logged in, without requiring specific privileges, can issue 'request csds' CLI operational commands. These commands are only meant to be executed by high privileged or users designated for Juniper Device Manager (JDM) / Connected Security Distributed Services (CSDS) operations as they will impact all aspects of the devices managed via the respective MX.
This issue affects Junos OS on MX Series:
* 24.4 releases before 24.4R2-S3,
* 25.2 releases before 25.2R2.
This issue does not affect Junos OS releases before 24.4.
A critical authorization bypass in Juniper Junos OS MX Series allows authenticated users with low privileges to execute 'request csds' commands intended only for administrators, potentially compromising all managed devices. This vulnerability affects versions 24.4 before 24.4R2-S3 and 25.2 before 25.2R2, with no patch currently available. The CVSS score of 8.8 reflects the severe impact on device integrity and management capabilities.
IMMEDIATE ACTIONS:
1. Inventory all Juniper MX Series devices running Junos OS 24.4 (before 24.4R2-S3) and 25.2 (before 25.2R2)
2. Restrict CLI access to MX Series devices to only essential administrative personnel; implement role-based access controls (RBAC) with explicit privilege levels
3. Disable or restrict 'request csds' command execution at the CLI parser level using Junos configuration filters
4. Monitor all 'request csds' command executions via syslog and NETCONF audit logging
COMPENSATING CONTROLS (until patch available):
5. Implement network-level access controls: restrict SSH/Telnet access to MX devices to specific administrative jump hosts
6. Deploy AAA (RADIUS/TACACS+) with strict authentication and command authorization policies
7. Use Juniper Device Manager (JDM) for centralized access control if available, bypassing CLI-level vulnerabilities
8. Segment management traffic on dedicated VLANs with strict ACLs
DETECTION RULES:
9. Create syslog alerts for any 'request csds' command execution from non-administrative accounts
10. Monitor for privilege escalation attempts via CLI
11. Alert on any changes to user privilege levels or RBAC configurations
12. Implement NetFlow/sFlow monitoring for unusual management plane traffic patterns
PATCHING STRATEGY:
13. Plan immediate upgrade to Junos OS 24.4R2-S3 or 25.2R2 once patches are released
14. Test patches in non-production environment first; coordinate with network operations for maintenance windows
الإجراءات الفورية:
1. حصر جميع أجهزة Juniper MX Series التي تعمل بنظام Junos OS 24.4 (قبل 24.4R2-S3) و25.2 (قبل 25.2R2)
2. تقييد وصول CLI إلى أجهزة MX فقط للموظفين الإداريين الأساسيين؛ تطبيق التحكم في الوصول القائم على الأدوار (RBAC) مع مستويات امتياز صريحة
3. تعطيل أو تقييد تنفيذ أمر 'request csds' على مستوى محلل CLI باستخدام مرشحات تكوين Junos
4. مراقبة جميع عمليات تنفيذ أمر 'request csds' عبر syslog وتسجيل تدقيق NETCONF
الضوابط البديلة (حتى توفر التصحيح):
5. تطبيق التحكم في الوصول على مستوى الشبكة: تقييد وصول SSH/Telnet إلى أجهزة MX إلى أجهزة قفز إدارية محددة فقط
6. نشر AAA (RADIUS/TACACS+) مع سياسات مصادقة وتفويض أوامر صارمة
7. استخدام Juniper Device Manager (JDM) للتحكم المركزي في الوصول إن أمكن، تجاوز ثغرات مستوى CLI
8. تقسيم حركة الإدارة على شبكات VLAN مخصصة مع قوائم تحكم وصول صارمة
قواعد الكشف:
9. إنشاء تنبيهات syslog لأي تنفيذ أمر 'request csds' من حسابات غير إدارية
10. مراقبة محاولات تصعيد الامتيازات عبر CLI
11. التنبيه على أي تغييرات في مستويات امتياز المستخدم أو تكوينات RBAC
12. تطبيق مراقبة NetFlow/sFlow لأنماط حركة مستوى الإدارة غير العادية
استراتيجية التصحيح:
13. التخطيط للترقية الفورية إلى Junos OS 24.4R2-S3 أو 25.2R2 بمجرد إصدار التصحيحات
14. اختبار التصحيحات في بيئة غير الإنتاج أولاً؛ التنسيق مع عمليات الشبكة لنوافذ الصيانة