Junos Evolved PTX路由器惊现9.8分预授权RCE：无需认证即可获取root权限

🔓 Critical 漏洞利用

Juniper PTX系列路由器上运行的Junos OS Evolved系统中的On-Box Anomaly Detection框架存在不正确的关键资源权限分配漏洞（CVE-2026-21902），导致该内部REST API服务意外暴露在0.0.0.0:8160/TCP端口。攻击者无需任何认证即可通过API端点创建并执行任意shell命令，以root权限完全控制设备。

来源：watchTowr Labs | 0 | 原文链接

🔍 关键发现

• On-Box Anomaly Detection框架本应仅监听内部路由实例，但因代码中绑定地址设置为空字符串''，实际监听0.0.0.0，暴露于网络。
• 该框架提供完整的CRUD API，允许攻击者创建、调度和执行任意shell命令（Command）、处理器（Handler）及DAG工作流。
• 漏洞影响Junos OS Evolved 25.4版本（25.4R1-S1-EVO之前及25.4R2-EVO），且服务默认启用，无需任何配置即可利用。

⚔️ 攻击链分析

1. 扫描发现目标PTX设备开放8160/TCP端口（On-Box Anomaly Detection框架API）。 2. 通过POST /config/command/创建包含恶意shell命令的Command对象。 3. 通过POST /config/dag/和POST /config/dag-instance/创建并调度包含该Command的DAG实例。 4. 等待调度执行或触发执行，恶意命令以root权限在设备上运行。

🚩 失陷指标 (IOC)

• 设备开放8160/TCP端口
• 日志中出现对/api/config/command、/api/config/dag、/api/config/dag-instance等端点的非预期HTTP请求
• 异常进程（如反向shell、挖矿程序等）以root用户运行

🛡️ 缓解建议

• ✅ 立即升级Junos OS Evolved至25.4R1-S1-EVO或25.4R2-EVO及以上版本。
• ✅ 在无法立即升级的情况下，使用防火墙ACL限制8160/TCP端口的访问来源，仅允许受信任的管理IP。
• ✅ 禁用On-Box Anomaly Detection框架（如果业务不需要），或将其绑定到内部管理接口。

涉及漏洞：["CVE-2026-21902"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。