An Improper Input Validation vulnerability in Juniper Networks Junos OS and Junos OS Evolved allows an unauthenticated, adjacent attacker, sending a specific genuine BGP packet in an already established BGP session to reset only that session causing a Denial of Service (DoS).
An attacker repeatedly sending the packet will sustain the Denial of Service (DoS).This issue affects Junos OS:
* 25.2 versions before 25.2R2
This issue doesn't not affected Junos OS versions before 25.2R1.
This issue affects Junos OS Evolved:
* 25.2-EVO versions before 25.2R2-EVO
This issue doesn't not affected Junos OS Evolved versions before 25.2R1-EVO.
eBGP and iBGP are affected.
IPv4 and IPv6 are affected.
CVE-2026-33797 is a high-severity input validation flaw in Juniper Junos OS 25.2 and Junos OS Evolved 25.2 that allows unauthenticated adjacent attackers to trigger BGP session resets via malformed BGP packets, causing sustained denial of service. The vulnerability affects both eBGP and iBGP sessions over IPv4 and IPv6, impacting critical network infrastructure. No patch is currently available, requiring immediate compensating controls for affected Saudi organizations.
IMMEDIATE ACTIONS:
1. Identify all Juniper Junos OS 25.2 and Junos OS Evolved 25.2 deployments in your network using inventory management tools
2. Isolate affected devices from untrusted adjacent networks where possible
3. Implement strict BGP session authentication using MD5 or TCP-AO to prevent unauthorized packet injection
4. Enable BGP session monitoring and alerting for unexpected resets
COMPENSATING CONTROLS (until patch available):
5. Deploy BGP packet filtering at network edges to validate BGP packet structure before reaching routers
6. Implement rate limiting on BGP packets from adjacent peers
7. Configure BGP graceful restart to minimize impact of session resets
8. Establish redundant BGP sessions with diverse paths to critical peers
9. Monitor syslog for BGP session state changes and correlate with traffic anomalies
DETECTION RULES:
10. Alert on BGP session resets from specific adjacent peers within short time windows (e.g., >3 resets in 5 minutes)
11. Monitor for malformed BGP UPDATE messages using packet inspection
12. Track BGP session uptime metrics and flag abnormal patterns
13. Correlate BGP resets with network performance degradation
PATCHING STRATEGY:
14. Monitor Juniper security advisories for patch release (expected for 25.2R2 and 25.2R2-EVO)
15. Plan immediate patching upon availability; test in lab environment first
16. Consider downgrading to pre-25.2R1 versions if critical and patch unavailable
الإجراءات الفورية:
1. حدد جميع نشرات Juniper Junos OS 25.2 و Junos OS Evolved 25.2 في شبكتك باستخدام أدوات إدارة المخزون
2. عزل الأجهزة المتأثرة عن الشبكات المجاورة غير الموثوقة حيث أمكن
3. تطبيق مصادقة جلسة BGP الصارمة باستخدام MD5 أو TCP-AO لمنع حقن الحزم غير المصرح بها
4. تفعيل مراقبة جلسة BGP والتنبيهات لإعادة التعيين غير المتوقعة
الضوابط التعويضية (حتى توفر التصحيح):
5. نشر تصفية حزم BGP على حواف الشبكة للتحقق من صحة هيكل حزم BGP قبل وصولها إلى الموجهات
6. تطبيق تحديد معدل على حزم BGP من نظراء مجاورين
7. تكوين إعادة تشغيل BGP الرشيقة لتقليل تأثير إعادة تعيين الجلسة
8. إنشاء جلسات BGP زائدة عن الحاجة مع مسارات متنوعة للنظراء الحرجين
9. مراقبة syslog لتغييرات حالة جلسة BGP والربط مع شذوذ حركة المرور
قواعد الكشف:
10. تنبيه عند إعادة تعيين جلسة BGP من نظراء مجاورين محددين ضمن نوافذ زمنية قصيرة (مثل >3 إعادة تعيين في 5 دقائق)
11. مراقبة رسائل BGP UPDATE المشوهة باستخدام فحص الحزم
12. تتبع مقاييس وقت تشغيل جلسة BGP والإشارة إلى الأنماط غير الطبيعية
13. ربط إعادة تعيين BGP مع تدهور أداء الشبكة
استراتيجية التصحيح:
14. مراقبة نشرات أمان Juniper لإصدار التصحيح (متوقع لـ 25.2R2 و 25.2R2-EVO)
15. خطط التصحيح الفوري عند التوفر؛ اختبر في بيئة المختبر أولاً
16. فكر في الرجوع إلى الإصدارات السابقة لـ 25.2R1 إذا كانت حرجة والتصحيح غير متاح