2. Vulnerabilidad (CVE-2026-21902) Ejecución de Código Remoto (RCE) en Juniper Junos OS Evolved

Vulnerabilidad (CVE-2026-21902) Ejecución de Código Remoto (RCE) en Juniper Junos OS Evolved

Fecha de publicación: Jue, 26/02/2026 - 16:42

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se ha identificado una vulnerabilidad de ejecución de código arbitrario (RCE) de extrema gravedad en el sistema operativo Junos OS Evolved, afectando especificamente a la serie de routers PTX. El fallo (CVE-2026-21902) permite que un atacante remoto, no autenticado y basado en red, ejecute comandos con privilegios de root en el sistema operativo host.

La vulnerabilidad se origina en una gestión deficiente de paquetes de red específicos que, al ser procesados por ciertos servicios internos, provocan una corrupción de memoria o un desbordamiento que permite el escape del entorno restringido hacia el kernel del sistema.

Recursos afectados

Esta vulnerabilidad impacta específicamente a la serie PTX de Juniper Networks que opera con el sistema operativo Junos OS Evolved en las siguientes versiones:

  • Junos OS Evolved Rama 25.4: Todas las versiones anteriores a 25.4R1-S1-EVO y 25.4R2-EVO

  • Versiones no afectadas: El problema no compromete a las versiones de Junos OS Evolved anteriores a la 25.4R1-EVO.

  • Exclusión de plataforma: Los dispositivos que ejecutan Junos OS (arquitectura tradicional) no se ven afectados por esta vulnerabilidad.

Solución/Mitigación

  • Instalar las versiones de software corregidas (Hotfix) proporcionadas por Juniper Networks en su portal de soporte. Debido a que es un boletín "Out-of-Cycle", se considera una prioridad de parcheo de 24 horas.

  • Implementar Listas de Control de Acceso (ACL) robustas en las interfaces de infraestructura para limitar el tráfico de gestión y protocolos de enrutamiento únicamente a fuentes confiables.

  • Desactivar cualquier servicio de red expuesto que no sea estrictamente necesario para la operación del nodo mientras se aplica el parche.

Indicadores de compromiso

  • Presencia de mensajes de error inusuales relacionados con el proceso mgd o reinicios inesperados de procesos de red (daemon crashes).

  • Intentos de conexión desde direcciones IP externas no autorizadas hacia puertos de gestión o puertos de protocolos de control internos.

  • Aparición de archivos ejecutables en directorios temporales "/tmp/" o "/var/tmp/" con privilegios de ejecución elevados.

  • Creación de usuarios locales con privilegios de superusuario no registrados en la bitácora de administración.

Recomendaciones

  • Utilizar herramientas de monitoreo para detectar picos inusuales en el uso de CPU que puedan indicar un intento de explotación de desbordamiento de búfer.

  • Asegurarse de que las interfaces de gestión (Out-of-Band) estén físicamente aisladas de la red de tránsito de datos.

Referencias