En bref

  • CVE-2026-21902 — exécution de code en tant que root sans authentification, CVSS 9.8 (critique)
  • Routeurs Juniper PTX Series sous Junos OS Evolved 25.4.x avant 25.4R1-S1-EVO
  • Action urgente : mettre à jour vers 25.4R1-S1-EVO ou bloquer le port TCP 8160

Les faits

Référencée CVE-2026-21902 avec un score CVSS de 9.8, cette vulnérabilité critique affecte les routeurs Juniper Networks PTX Series exécutant Junos OS Evolved. L'avis de sécurité a été relayé par le CERT-FR le 10 avril 2026 dans le cadre d'une alerte couvrant les produits Juniper Networks, et une analyse technique détaillée a été publiée par watchTowr Labs.

La faille provient d'une erreur d'attribution de permissions dans le framework On-Box Anomaly Detection. Une API REST basée sur Python se lie à toutes les interfaces réseau (0.0.0.0) sur le port TCP 8160 sans aucun mécanisme d'authentification. Un attaquant distant peut exploiter cette API pour exécuter du code arbitraire avec les privilèges root, prenant ainsi le contrôle complet du routeur.

WatchTowr Labs a qualifié cette vulnérabilité de « one packet to root », soulignant la simplicité d'exploitation. L'agence de cybersécurité de Singapour (CSA) a également émis une alerte spécifique concernant cette faille.

Impact et exposition

Les routeurs PTX Series de Juniper sont déployés dans les cœurs de réseau des opérateurs télécoms, des fournisseurs d'accès Internet et des grandes entreprises. Une compromission de ces équipements permettrait à un attaquant d'intercepter, modifier ou rediriger l'ensemble du trafic réseau transitant par le routeur, avec des conséquences potentiellement catastrophiques sur la confidentialité et l'intégrité des communications.

Les versions affectées sont toutes les versions 25.4.x de Junos OS Evolved antérieures à 25.4R1-S1-EVO et 25.4R2-EVO. Les versions antérieures à 25.4R1-EVO ne sont pas affectées, tout comme les versions standard (non Evolved) de Junos OS. À ce jour, aucune exploitation active n'a été confirmée dans la nature, mais la publication du détail technique par watchTowr rend l'exploitation par des acteurs malveillants très probable à court terme.

Recommandations immédiates

  • Mettre à jour vers Junos OS Evolved 25.4R1-S1-EVO, 25.4R2-EVO ou 26.2R1-EVO — advisory Juniper JSA-2026-04-001
  • En attendant le patch : appliquer des ACL ou filtres pare-feu pour bloquer tout accès externe au port TCP 8160 sur les interfaces management et data plane
  • Vérifier les journaux d'accès au port 8160 pour détecter toute connexion suspecte
  • Scanner le réseau interne pour identifier tous les équipements PTX exposés
  • Segmenter les plans de management des routeurs du reste du réseau

⚠️ Urgence

Un seul paquet réseau suffit à obtenir un accès root sur les routeurs PTX affectés. Avec la publication du détail technique par watchTowr, l'exploitation de cette faille est imminente. Les opérateurs réseau doivent agir immédiatement : patcher ou bloquer le port 8160 sans délai.

Comment savoir si je suis vulnérable ?

Connectez-vous à votre routeur PTX et exécutez show version pour vérifier la version de Junos OS Evolved. Si vous êtes sur une version 25.4.x antérieure à 25.4R1-S1-EVO, vous êtes vulnérable. Vous pouvez également tester si le port TCP 8160 est accessible depuis l'extérieur avec nmap -p 8160 [IP_routeur]. Si le port répond, l'API non authentifiée est exposée.

Les routeurs Juniper non-PTX sont-ils affectés ?

Non. Seuls les routeurs PTX Series exécutant Junos OS Evolved version 25.4.x sont concernés. Les versions standard de Junos OS (non Evolved) et les autres gammes de routeurs Juniper (MX, SRX, EX) ne sont pas affectées par cette vulnérabilité spécifique.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit