An Incorrect Initialization of Resource vulnerability in the packet forwarding engine (pfe) of Juniper Networks Junos OS on specific EX Series and QFX Series device allows an unauthenticated, network-based attacker to cause an integrity impact to downstream networks.
When the same family inet or inet6 filter is applied on an IRB interface and on a physical interface as egress filter on EX4100, EX4400, EX4650 and QFX5120 devices, only one of the two filters will be applied, which can lead to traffic being sent out one of these interfaces which should have been blocked.
This issue affects Junos OS on EX Series and QFX Series:
* 23.4 version 23.4R2-S6,
* 24.2 version 24.2R2-S3.
No other Junos OS versions are affected.
A critical filter bypass vulnerability in Juniper Junos OS affects EX and QFX series switches used in Saudi networks. When identical firewall filters are applied to both IRB and physical interfaces, only one filter is enforced, allowing unauthorized traffic to bypass security controls. This integrity impact poses significant risk to network segmentation and data protection in Saudi organizations relying on these devices for perimeter and internal security.
IMMEDIATE ACTIONS:
1. Audit all EX4100, EX4400, EX4650, and QFX5120 devices running Junos OS 23.4R2-S6 or 24.2R2-S3
2. Verify filter configurations on IRB and physical interfaces to identify dual-filter deployments
3. Implement compensating controls: consolidate filters to single interface point or use alternative filtering mechanisms
4. Enable enhanced logging on affected interfaces to detect unauthorized traffic egress
COMPENSATING CONTROLS (until patch available):
- Apply filters only to physical interfaces, remove from IRB interfaces temporarily
- Implement additional filtering at upstream/downstream devices
- Deploy NetFlow/sFlow monitoring to detect anomalous traffic patterns
- Use VLAN-based access controls as secondary enforcement
DETECTION:
- Monitor for traffic on interfaces that should be blocked by filters
- Alert on filter configuration mismatches between IRB and physical interfaces
- Track Junos OS version inventory for affected releases
- Implement IDS/IPS rules to detect traffic that violates expected filter policies
PATCHING:
- Contact Juniper for patch availability timeline
- Plan upgrade to non-affected Junos OS versions when patches released
- Test patches in lab environment before production deployment
الإجراءات الفورية:
1. تدقيق جميع أجهزة EX4100 و EX4400 و EX4650 و QFX5120 التي تعمل بنظام Junos OS 23.4R2-S6 أو 24.2R2-S3
2. التحقق من تكوينات المرشحات على واجهات IRB والواجهات الفيزيائية لتحديد نشرات المرشحات المزدوجة
3. تطبيق عناصر التحكم التعويضية: دمج المرشحات في نقطة واجهة واحدة أو استخدام آليات تصفية بديلة
4. تفعيل السجلات المحسنة على الواجهات المتأثرة للكشف عن خروج حركة المرور غير المصرح بها
عناصر التحكم التعويضية (حتى توفر التصحيح):
- تطبيق المرشحات على الواجهات الفيزيائية فقط، إزالتها من واجهات IRB مؤقتاً
- تطبيق تصفية إضافية على الأجهزة العلوية/السفلية
- نشر مراقبة NetFlow/sFlow للكشف عن أنماط حركة المرور الشاذة
- استخدام عناصر التحكم في الوصول القائمة على VLAN كإنفاذ ثانوي
الكشف:
- مراقبة حركة المرور على الواجهات التي يجب حظرها بواسطة المرشحات
- تنبيهات عدم تطابق تكوين المرشحات بين واجهات IRB والواجهات الفيزيائية
- تتبع جرد إصدار Junos OS للإصدارات المتأثرة
- تطبيق قواعد IDS/IPS للكشف عن حركة المرور التي تنتهك سياسات المرشحات المتوقعة
التصحيح:
- الاتصال بـ Juniper للحصول على جدول زمني لتوفر التصحيح
- التخطيط للترقية إلى إصدارات Junos OS غير المتأثرة عند إصدار التصحيحات
- اختبار التصحيحات في بيئة المختبر قبل نشرها في الإنتاج