Un error en el framework de detección de anomalías expone a los dispositivos con Junos OS Evolved a tomas de control completas por parte de atacantes remotos sin necesidad de autenticación.
El hardware que enruta el tráfico principal de Internet no es inmune a los descuidos de configuración interna. Hoy 27 de febrero de 2026, la publicación de un boletín de seguridad fuera de ciclo por parte de Juniper Networks para abordar una vulnerabilidad masiva en sus enrutadores de la serie PTX.
El fallo, rastreado oficialmente como CVE-2026-21902, es una pesadilla arquitectónica: permite a un atacante remoto y no autenticado ejecutar código arbitrario con privilegios de administrador supremo (usuario root). Esto equivale a entregarle las llaves completas del enrutador.
La Falla: Un Guardián Demasiado Expuesto
La ironía de esta vulnerabilidad es que reside en un componente diseñado precisamente para proteger el equipo.
- El Origen: El problema se origina en una asignación incorrecta de permisos dentro del marco de detección de anomalías en la caja (On-Box Anomaly detection framework).
- El Defecto: Este servicio, que monitorea comportamientos inusuales, viene habilitado por defecto y no requiere que el administrador lo configure.
- La Exposición: Según el aviso de seguridad, este servicio debía ser accesible únicamente para otros procesos internos dentro de la instancia de enrutamiento del equipo. Sin embargo, el error provocó que el servicio quedara expuesto de forma inadvertida al tráfico externo a través de un puerto abierto.
- El Ataque: Cualquier atacante en la red puede aprovechar este puerto expuesto para manipular el servicio y forzar la ejecución de código a nivel raíz.
Alcance y Descubrimiento
Afortunadamente, el alcance de la vulnerabilidad está bastante acotado.
- Sistemas Afectados: El fallo impacta exclusivamente a la versión 25.4 de Junos OS Evolved ejecutándose en dispositivos de la Serie PTX.
- Sistemas Seguros: Las versiones anteriores de Junos OS Evolved y el sistema operativo estándar Junos OS no están afectados por esta falla.
- Sin Explotación Activa: El Equipo de Respuesta a Incidentes de Seguridad de Juniper (SIRT) descubrió la falla durante pruebas de seguridad internas del producto. Actualmente, no hay evidencia de que ciberdelincuentes estén explotando esto en la naturaleza (In the Wild).
Soluciones y Mitigaciones Temporales
La compañía insta a los administradores de redes corporativas a aplicar las actualizaciones de software de inmediato. El parche ya está disponible en las versiones 25.4R1-S1-EVO, 25.4R2-EVO y 26.2R1-EVO, y en todas las versiones posteriores.
Si el mantenimiento no se puede programar hoy mismo, Juniper ha proporcionado soluciones alternativas (workarounds) cruciales:
- Bloqueo Perimetral: Configurar listas de control de acceso (ACLs) o filtros de firewall para bloquear todo el tráfico no autorizado hacia el dispositivo, permitiendo solo conexiones desde hosts y redes estrictamente confiables.
- Desactivación Manual: Apagar el servicio vulnerable a través de la interfaz de línea de comandos ejecutando: request pfe anomalies disable <fpc-slot>.
