CVE-2026-21902 : RCE root Juniper PTX Junos, CVSS 9.8

Les faits

Juniper Networks a publié un bulletin de sécurité hors-cycle (Out-of-Cycle Security Bulletin) pour divulguer CVE-2026-21902, une vulnérabilité d'exécution de code à distance pré-authentifiée de sévérité maximale (CVSS v3.1 : 9.8) affectant Junos OS Evolved sur les routeurs de la gamme PTX Series. La vulnérabilité permet à un attaquant non authentifié, depuis n'importe quel réseau accessible, d'exécuter du code arbitraire avec les privilèges root sur le routeur cible. La nature de la faille — une API REST interne exposée publiquement sans aucun mécanisme d'authentification — en fait l'une des vulnérabilités d'infrastructure réseau les plus critiques de l'année. Un proof-of-concept (PoC) a été publié par WatchTowr Labs dans le cadre de la divulgation coordonnée, ce qui augmente considérablement le risque d'exploitation active.

Cause racine : le framework On-Box Anomaly Detection exposé sur toutes les interfaces
Le composant vulnérable est le framework On-Box Anomaly Detection (OBAD), un service de détection d'anomalies embarqué dans Junos OS Evolved. Ce framework utilise une API REST développée en Python qui, par conception architecturale, est censée être accessible uniquement par d'autres processus internes via une instance de routage privée. Cependant, en raison d'une mauvaise assignation de permissions (CWE-732, Incorrect Permission Assignment for Critical Resource), le service se lie à l'adresse 0.0.0.0 (toutes les interfaces réseau) sur le port TCP 8160, le rendant accessible depuis n'importe quelle interface réseau du routeur — y compris les interfaces de données et de management potentiellement exposées à Internet.

Vecteur d'exploitation et mécanisme de compromission root
Un attaquant connaissant l'existence du service OBAD peut interagir directement avec l'API REST sur le port 8160 sans fournir aucune information d'authentification. Le framework OBAD permet la planification et l'exécution de workflows d'analyse réseau. En soumettant des workflows malicieusement construits à cette API non protégée, l'attaquant peut déclencher l'exécution de commandes système arbitraires avec les privilèges du processus, qui s'exécute en tant que root sur Junos OS Evolved. Le vecteur CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (score 9.8) traduit parfaitement la dangerosité : accessible par réseau, sans complexité d'attaque, sans authentification, sans interaction utilisateur, avec impact total sur la confidentialité, l'intégrité et la disponibilité.

Activation par défaut et absence de configuration requise pour être vulnérable
Un facteur aggravant majeur est que le service OBAD est activé par défaut sur toutes les installations de Junos OS Evolved 25.4 dans le périmètre affecté. Aucune configuration spécifique n'est requise pour être vulnérable : le port 8160/TCP est ouvert dès le démarrage du routeur. Cela signifie que l'intégralité du parc PTX Series sous Junos EVO 25.4 dans les versions affectées est vulnérable sans exception. Les chercheurs de WatchTowr Labs ont décrit l'absence totale de mécanisme d'authentification dans le code source du service comme une erreur de conception flagrante — le service était visiblement conçu comme un composant interne, sans que les implications d'une exposition réseau accidentelle n'aient été considérées.

Publication du PoC par WatchTowr Labs et risque d'exploitation accru
Après coordination responsable avec Juniper Networks et vérification de la disponibilité des patches, WatchTowr Labs a publié une analyse technique détaillée et un PoC fonctionnel de CVE-2026-21902. Cette publication abaisse considérablement la barrière d'exploitation : des acteurs moins sophistiqués peuvent désormais exploiter cette vulnérabilité en adaptant le PoC disponible publiquement. Des analyses complémentaires ont été publiées par SonicWall, runZero, Rescana et d'autres firmes de sécurité, augmentant la visibilité de la faille dans la communauté de sécurité offensive.

Périmètre des versions affectées
La vulnérabilité concerne exclusivement les installations de Junos OS Evolved dans la branche 25.4. Toutes les versions 25.4.x antérieures à 25.4R1-S1-EVO et 25.4R2-EVO sont vulnérables. Les versions de Junos EVO antérieures à 25.4R1-EVO ne sont pas affectées car le framework OBAD n'y avait pas encore été intégré. Les versions standard de Junos OS (non-Evolved) ne sont pas concernées. Les routeurs PTX Series de nouvelle génération (PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016) fonctionnant sous Junos OS Evolved 25.4 dans les versions affectées sont directement vulnérables.

Contexte de déploiement des PTX Series et impact stratégique
Les routeurs PTX Series sont principalement déployés chez les opérateurs télécoms Tier-1 et Tier-2, les grands fournisseurs d'accès Internet, les IXP (Internet Exchange Points) et les exploitants de datacenters hyperscale. Ce sont des équipements de cœur de réseau à haute densité gérant des volumes considérables de trafic en transit. Une compromission root sur un PTX Series offre à l'attaquant des capacités extrêmement étendues : modification de la configuration de routage BGP ou MPLS, interception passive ou active du trafic en transit, désactivation d'interfaces critiques, déploiement de backdoors persistantes dans le système, ou utilisation du routeur comme pivot vers d'autres équipements de l'infrastructure. Dans un contexte d'infrastructure critique, la compromission d'un PTX peut avoir un impact en cascade sur des milliers d'abonnés ou sur les interconnexions entre systèmes autonomes (AS).

Détection et indicateurs de compromission
La présence du port TCP 8160 ouvert sur les interfaces d'un routeur PTX est le premier indicateur d'exposition. Un scan Nmap ciblé depuis un hôte tiers (nmap -p 8160 <IP_interface>) permet de confirmer si le port est accessible. En cas de suspicion de compromission, les logs OBAD accessibles via show log obad peuvent révéler des requêtes REST anormales ou des entrées de workflow inattendues. Des modifications non autorisées de la configuration de routage, détectables via show configuration | compare rollback 1, constituent un indicateur sérieux de compromission active. La commande show system processes extensive | match obad permet de confirmer si le processus est en cours d'exécution.

Impact et exposition

Les organisations les plus exposées sont les opérateurs télécoms, les FAI, les IXP et les exploitants de datacenters utilisant des routeurs PTX Series sous Junos OS Evolved 25.4 dans les versions affectées. La nature critique de ces infrastructures — interconnexions multiples, trafic en transit volumique, rôle pivot dans l'architecture réseau — amplifie considérablement l'impact potentiel d'une exploitation réussie. Un routeur de cœur de réseau compromis peut servir de point d'interception passif ou de vecteur d'attaque vers d'autres équipements du réseau backbone.

La surface d'attaque est directement liée au nombre d'instances PTX Series exposant le port 8160 sur des interfaces accessibles depuis Internet ou des zones non sécurisées. Selon les données de scan publiées par runZero, une fraction significative des instances PTX détectées sur Internet expose le port 8160 sans filtrage, représentant un périmètre de risque immédiat et mesurable. Les organisations sans politique ACL stricte par défaut sur leurs interfaces de transit sont les plus exposées.

La publication d'un PoC fonctionnel abaisse la barrière d'exploitation et expose les routeurs non patchés à des tentatives d'exploitation automatisées à court terme. Les groupes APT étatiques ciblant les infrastructures télécoms — notamment des acteurs documentés pour cibler les équipements Juniper dans des campagnes d'espionnage réseau — sont susceptibles d'intégrer rapidement cet exploit dans leurs opérations de reconnaissance et de persistance.

Les contraintes opérationnelles propres aux routeurs de cœur de réseau (fenêtres de changement planifiées, validation en laboratoire avant déploiement, disponibilité 24/7) peuvent ralentir l'application des patches. La mitigation par firewall filter bloquant le port 8160 est donc d'autant plus critique comme mesure intermédiaire immédiate.

Recommandations immédiates

• Mettre à jour Junos OS Evolved vers 25.4R1-S1-EVO, 25.4R2-EVO ou 26.2R1-EVO — Juniper Out-of-Cycle Security Bulletin 2026-02
• En attente du patch : bloquer immédiatement le port TCP 8160 via un firewall filter Junos sur toutes les interfaces (management et données)
• Configuration firewall filter Junos : set firewall family inet filter BLOCK-OBAD term 1 from destination-port 8160 puis set firewall family inet filter BLOCK-OBAD term 1 then reject, appliqué sur toutes les interfaces concernées
• Scanner l'ensemble du parc PTX Series pour identifier les instances exposant le port 8160 via scan Nmap ou outils d'inventaire réseau internes
• Isoler les interfaces de management dans un VRF dédié inaccessible depuis les réseaux de données ou Internet
• Surveiller les logs OBAD pour toute activité suspecte : show log obad
• Vérifier l'intégrité de la configuration de routage : show configuration | compare rollback 1