An Improper Check for Unusual or Exceptional Conditions vulnerability in the flow daemon (flowd) of Juniper Networks Junos OS on SRX Series allows an attacker sending a specific, malformed ICMPv6 packet to cause the srxpfe process to crash and restart. Continued receipt and processing of these packets will repeatedly crash the srxpfe process and sustain the Denial of Service (DoS) condition.
During NAT64 translation, receipt of a specific, malformed ICMPv6 packet destined to the device will cause the srxpfe process to crash and restart.
This issue cannot be triggered using IPv4 nor other IPv6 traffic.
This issue affects Junos OS on SRX Series:
* all versions before 21.2R3-S10,
* all versions of 21.3,
* from 21.4 before 21.4R3-S12,
* all versions of 22.1,
* from 22.2 before 22.2R3-S8,
* all versions of 22.4,
* from 22.4 before 22.4R3-S9,
* from 23.2 before 23.2R2-S6,
* from 23.4 before 23.4R2-S7,
* from 24.2 before 24.2R2-S3,
* from 24.4 before 24.4R2-S3,
* from 25.2 before 25.2R1-S2, 25.2R2.
A Denial of Service vulnerability in Juniper Networks Junos OS SRX Series allows attackers to crash the srxpfe process by sending malformed ICMPv6 packets during NAT64 translation. Repeated exploitation sustains service disruption. This affects multiple Junos OS versions with no patch currently available, requiring immediate compensating controls for organizations operating SRX firewalls in production environments.
IMMEDIATE ACTIONS:
1. Identify all SRX Series devices in your network and document their current Junos OS versions
2. Disable NAT64 translation if not operationally required — this eliminates the attack vector
3. Implement ICMPv6 filtering at network perimeter to block malformed ICMPv6 packets destined to SRX devices
4. Deploy rate-limiting on ICMPv6 traffic to reduce DoS impact
PATCHING GUIDANCE:
1. Monitor Juniper security advisories for patch releases matching your version (21.2R3-S10+, 21.4R3-S12+, 22.2R3-S8+, 22.4R3-S9+, 23.2R2-S6+, 23.4R2-S7+, 24.2R2-S3+, 24.4R2-S3+, 25.2R1-S2+)
2. Plan upgrade to patched version during maintenance window
3. Test patches in lab environment before production deployment
COMPENSATING CONTROLS (until patch available):
1. Configure access-lists to deny ICMPv6 type 0-127 (informational messages) if not required
2. Implement stateful firewall rules limiting ICMPv6 echo requests
3. Monitor srxpfe process restarts using syslog alerts
4. Configure automatic failover to secondary SRX if available
5. Implement network segmentation to limit exposure of NAT64-enabled interfaces
DETECTION RULES:
1. Alert on srxpfe process crashes/restarts (check system logs for 'srxpfe' restart events)
2. Monitor for unusual ICMPv6 traffic patterns destined to SRX management/data interfaces
3. Track ICMPv6 packet anomalies (malformed headers, invalid checksums)
4. Correlate ICMPv6 traffic spikes with srxpfe restart events
الإجراءات الفورية:
1. حدد جميع أجهزة SRX Series في شبكتك وقثق إصدارات Junos OS الحالية
2. عطّل ترجمة NAT64 إذا لم تكن مطلوبة تشغيلياً — هذا يلغي متجه الهجوم
3. طبّق تصفية ICMPv6 على محيط الشبكة لحجب حزم ICMPv6 المشوهة الموجهة لأجهزة SRX
4. طبّق تحديد معدل على حركة ICMPv6 لتقليل تأثير حجب الخدمة
إرشادات التصحيح:
1. راقب إشعارات أمان Juniper للحصول على إصدارات التصحيح المطابقة لإصدارك
2. خطط للترقية إلى إصدار مصحح أثناء نافذة الصيانة
3. اختبر التصحيحات في بيئة المختبر قبل نشرها في الإنتاج
الضوابط التعويضية (حتى توفر التصحيح):
1. كوّن قوائم التحكم في الوصول لرفض نوع ICMPv6 0-127 إذا لم تكن مطلوبة
2. طبّق قواعد جدار الحماية الحالة لتحديد طلبات صدى ICMPv6
3. راقب إعادة تشغيل عملية srxpfe باستخدام تنبيهات syslog
4. كوّن الفشل التلقائي إلى SRX ثانوي إذا كان متاحاً
5. طبّق تقسيم الشبكة لتحديد تعريض الواجهات المفعلة NAT64
قواعد الكشف:
1. تنبيه عند توقف/إعادة تشغيل عملية srxpfe (تحقق من سجلات النظام)
2. راقب أنماط حركة ICMPv6 غير العادية الموجهة لواجهات إدارة/بيانات SRX
3. تتبع شذوذ حزم ICMPv6 (رؤوس مشوهة، مجاميع اختيار غير صحيحة)
4. ربط طفرات حركة ICMPv6 مع أحداث إعادة تشغيل srxpfe