Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 11.06.2026 · 3 min Lesezeit

Juniper Networks: Kritische RCE-Lücke CVE‑2026‑21902 ermöglicht Root-Übernahme von PTX-Routern

Juniper Networks hat einen Notfall-Patch für CVE-2026-21902 (CVSS 9.8) veröffentlicht. Die kritische Lücke im On-Box Anomaly Detection Framework von Junos OS Evolved erlaubt unauthentifizierten Angreifern die vollständige Root-Übernahme von PTX-Series-Routern.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Die Grafik warnt vor einer schwerwiegenden Sicherheitslücke in Juniper-PTX-Routern, durch die Angreifer ohne Anmeldung Root-Rechte erlangen und das System komplett kontrollieren können.

Juniper Networks hat außerplanmäßige Sicherheitsupdates für eine kritische Schwachstelle in PTX-Series-Routern veröffentlicht. Die als CVE-2026-21902 erfasste Lücke erhält einen CVSS-v3.1-Basiswert von 9.8 und ermöglicht einem unauthentifizierten Angreifer aus dem Netz heraus die vollständige Übernahme des betroffenen Geräts mit Root-Rechten. Betroffen sind ausschließlich Systeme, auf denen Junos OS Evolved läuft – Standard-Junos-OS-Installationen sind nicht gefährdet.

Die Schwachstelle

Ursache der Lücke ist eine fehlerhafte Berechtigungsvergabe im On-Box Anomaly Detection Framework von Junos OS Evolved. Dieser interne Diagnosedienst ist standardmäßig über einen nach außen erreichbaren Netzwerkport zugänglich, obwohl er ausschließlich für lokale, interne Nutzung vorgesehen ist. Da der Dienst keinerlei Authentifizierung verlangt, kann ein entfernter Angreifer ohne Zugangsdaten direkt darüber beliebigen Code mit Root-Rechten ausführen.

Der Angriffsvektor ist rein netzwerkbasiert und erfordert weder physischen Zugang noch vorherige Anmeldung. Dies macht CVE-2026-21902 zu einer der gefährlichsten Klassen von Netzwerk-Schwachstellen: Ein einzelnes erreichbares Paket kann genügen, um einem Angreifer vollständige Kontrolle über den Router zu verschaffen. Bislang ist keine aktive Ausnutzung in freier Wildbahn bekannt; der triviale Angriffsvektor macht ein hohes Exploit-Risiko jedoch wahrscheinlich.

Bin ich betroffen?

Administratoren sind betroffen, wenn sie PTX-Series-Router mit Junos OS Evolved in einer Version vor 25.4R1-S1-EVO oder 25.4R2-EVO betreiben. Standard-Junos-OS (Non-Evolved) ist ausdrücklich nicht betroffen.

KriteriumBetroffen
HardwareJuniper PTX Series Router
BetriebssystemJunos OS Evolved (nur EVO-Variante)
VersionenAlle Versionen vor 25.4R1-S1-EVO und 25.4R2-EVO
Standard Junos OSNicht betroffen

Die laufende Junos-OS-Evolved-Version lässt sich auf dem Router mit folgendem Befehl abfragen:

show version

Wie behebe ich das?

Juniper empfiehlt die sofortige Aktualisierung auf eine der bereinigten Versionen. Die Fixes sind in folgenden Releases enthalten:

  1. 25.4R1-S1-EVO
  2. 25.4R2-EVO
  3. 26.2R1-EVO

Das Update sollte über den offiziellen Juniper Support-Kanal bezogen und nach den geltenden Change-Management-Prozessen eingespielt werden. Für Umgebungen, in denen ein sofortiges Update nicht möglich ist, stehen zwei Workarounds zur Verfügung:

  1. Firewall-Filter: Den extern erreichbaren Port des Anomaly-Detection-Dienstes per Firewall-Regelwerk sperren, sodass nur autorisierte Management-Hosts Zugriff erhalten.
  2. Dienst deaktivieren: Das On-Box Anomaly Detection Framework mit folgendem Befehl abschalten:
request pfe anomalies disable

Beide Workarounds reduzieren das Risiko erheblich, ersetzen aber keinen vollständigen Patch. Die Implementierung von Firewall-Filtern zum Schutz von Netzwerkdiensten und Management-Interfaces ist eine grundlegende Härtungsmaßnahme – wie das grundsätzlich funktioniert, zeigt die Anleitung zur pfSense/OPNsense-Firewall-Erstkonfiguration. Ergänzend lohnt ein Blick auf die Anleitung zu VLANs und Netzwerksegmentierung, um Management-Traffic konsequent vom Produktivnetz zu trennen.

Was bedeutet das für Unternehmen?

PTX-Series-Router werden als Core- und Provider-Edge-Router in großen Unternehmens- und Carrier-Netzwerken eingesetzt. Eine vollständige Root-Kompromittierung bedeutet in diesem Kontext totalen Kontrollverlust über kritische Netzwerkinfrastruktur: Angreifer können Routing-Tabellen manipulieren, Traffic umleiten oder mitlesen, Verbindungen kappen und tiefer ins Netz vordringen.

Aufgrund des CVSS-Scores von 9.8 und des trivialen, authentifizierungsfreien Angriffsvektors sollte CVE-2026-21902 mit höchster Priorität behandelt werden. Netzwerkteams in betroffenen Umgebungen sollten unverzüglich prüfen, welche PTX-Geräte mit Junos OS Evolved betrieben werden, und die Patch-Bereitstellung oder zumindest die Workarounds ohne Verzug in Angriff nehmen. Auch ein kurzfristiges Netzwerk-Audit zur Überprüfung bestehender Management-Zugriffsbeschränkungen ist empfehlenswert.

Da keine aktive Ausnutzung bekannt ist, besteht noch ein Zeitfenster für geordnetes Handeln – dieses Fenster kann sich jedoch mit Veröffentlichung von Proof-of-Concept-Exploits rasch schließen.

Quellen

  1. BleepingComputer: Critical Juniper Networks PTX flaw allows full router takeover
  2. SecurityWeek: Juniper Networks PTX Routers Affected by Critical Vulnerability
  3. Rescana: Critical CVE-2026-21902 in Juniper Networks PTX Series Routers
Verwandt

Weiter lesen

Alle Artikel →
Gebrochenes Sicherheitsschild mit roten Warnsignalen – Symbol für den Microsoft Patchday Juni 2026
11.06.2026 ·4 min

Fortinet patcht kritische RCE-Lücken in FortiSandbox und FortiAuthenticator (CVSS bis 9,8)

Fortinet hat am 10. Juni 2026 Patches für drei kritische Schwachstellen veröffentlicht. Betroffen sind FortiSandbox (CVSS 9,8) und FortiAuthenticator (CVSS 9,1) – unauthentifizierte Angreifer können in beiden Fällen Remote Code Execution erzielen. Sofortiges Update wird empfohlen.
Ein Beispielbild für das ausnutzten für ein Solar Winds Serv-U Bug
09.06.2026 ·3 min

SolarWinds Serv-U CVE-2026-28318: CISA setzt aktiv ausgenutzte DoS-Lücke auf KEV-Liste – Patchfrist 19. Juni

CISA hat am 5. Juni 2026 eine aktiv ausgenutzte Denial-of-Service-Schwachstelle in SolarWinds Serv-U in das Known Exploited Vulnerabilities Catalog aufgenommen. US-Bundesbehörden müssen bis 19. Juni patchen. Der Fix ist seit dem 3. Juni verfügbar.
Cybersecurity-Illustration zu einer aktiv ausgenutzten SolarWinds-Serv-U-Sicherheitslücke mit CISA-Warnung, Serverrack, Datenabfluss und Hotfix-Hinweis.
08.06.2026 ·4 min

SolarWinds Serv-U CVE-2026-28318: CISA-Warnung, aktiv ausgenutzt – Hotfix verfügbar

CISA hat CVE-2026-28318 in SolarWinds Serv-U in den KEV-Katalog aufgenommen: Unauthentifizierte Angreifer können den Dienst per HTTP-POST zum Absturz bringen. Über 12.000 Server sind öffentlich erreichbar – Bundesbehörden müssen bis 19. Juni 2026 patchen.