Juniper Networks heeft deze week patches vrijgegeven voor bijna drie dozijn kwetsbaarheden in Junos OS en Junos OS Evolved. De kwetsbaarheden kunnen leiden tot privilege escalation, denial-of-service (DoS) en het uitvoeren van commando's op afstand. De ernstigste kwetsbaarheid is CVE-2026-33784, met een CVSS-score van 9.8. Deze betreft een standaardwachtwoord in de Support Insights (JSI) Virtual Lightweight Collector (vLWC) dat op afstand kan worden misbruikt om een kwetsbaar apparaat over te nemen. Juniper Networks legt uit dat de vLWC-software standaard wordt geleverd met een wachtwoord voor een account met hoge privileges, maar dat het wijzigen van dit wachtwoord niet verplicht wordt gesteld tijdens de installatie, waardoor onbevoegden volledige toegang kunnen krijgen.

Daarnaast is een zwak wachtwoordprobleem opgelost in CTP OS, geregistreerd als CVE-2026-33771. Door het niet opslaan van instellingen voor wachtwoordcomplexiteit kunnen zwakke wachtwoorden worden gebruikt die door aanvallers geraden en misbruikt kunnen worden om volledige controle over het apparaat te verkrijgen. Ook is een kwetsbaarheid met hoge ernst in de SSH-hostsleutelvalidatie van Juniper Networks Apstra verholpen. Deze kan worden misbruikt voor machine-in-the-middle (MITM)-aanvallen om gebruikerscredentials te onderscheppen.

Verschillende andere ernstige kwetsbaarheden in Junos OS kunnen aanvallers in staat stellen om DoS-condities te veroorzaken via speciaal vervaardigde pakketten, direct toegang te krijgen tot FPC’s (Flexible PIC Concentrators) op apparaten, rootrechten te verkrijgen en apparaten over te nemen, of commando’s uit te voeren om beheerde apparaten te compromitteren. De overige beveiligingsproblemen die deze week zijn aangepakt, betreffen kwetsbaarheden met een medium ernstniveau. Deze kunnen leiden tot DoS, het uitvoeren van commando’s met verhoogde privileges, het verkrijgen van rootrechten, het beïnvloeden van de integriteit van downstream-netwerken, het uitlezen van gevoelige informatie, het omzeilen van firewallfilters of het injecteren van willekeurige shell-commando’s als root.

Juniper Networks meldt dat er geen aanwijzingen zijn dat deze kwetsbaarheden in het wild worden misbruikt. Meer informatie is beschikbaar via het support portal van het bedrijf.