أصدرت شركة Juniper Networks تحديثات أمنية موسعة لمعالجة مجموعة من الثغرات البرمجية التي استهدفت أنظمة تشغيل ومنصات إدارية حيوية. شملت هذه التحديثات أنظمة Junos OS وJunos OS Evolved، وتطبيق (vLWC) Support Insights Virtual Lightweight Collector، إضافة إلى نظام CTP OS ومنصة Apstra.
تأتي هذه الخطوة التصحيحية بهدف إغلاق منافذ الاختراق المحتملة وتأمين البنية التحتية للشبكات.
ثغرات حرجة وتهديدات السيطرة الكاملة
تتصدر الثغرة ذات المعرف CVE-2026-33784 قائمة المخاطر البرمجية بحد أقصى للخطورة بلغ 9.8 درجة وفق مقياس CVSS العالمي. وترتبط هذه الثغرة بمنتج JSI vLWC نتيجة وجود كلمة مرور افتراضية لحساب يمتلك صلاحيات وصول مرتفعة، حيث يكمن الخلل في عدم فرض النظام تغييرها عند الإعداد الأولي؛ ما يسمح لأطراف غير مخولة بالسيطرة الكاملة على الأجهزة عن بعد. وقد أكدت شركة Juniper تأثر كافة إصدارات هذا المنتج بهذا الخلل.
وفي سياق متصل، عالجت التحديثات الثغرة CVE-2026-33771 في نظام CTP OS، وهي ثغرة ناتجة عن ضعف في تطبيق معايير تعقيد كلمات المرور. وتفتقر الإعدادات الحالية إلى الآليات اللازمة لفرض رموز قوية، ما يتيح استخدام كلمات مرور سهلة التخمين تمكن المهاجمين من الاستيلاء على الجهاز بالكامل.
تحديات المصادقة وهجمات اعتراض البيانات
واجهت منصة Apstra ثغرة عالية الخطورة تتعلق بآلية التحقق من مفتاح مضيف بروتوكول SSH، ما يفتح المجال لتنفيذ هجمات اعتراض الاتصال (Man-in-the-Middle). وتسمح هذه الثغرة للمهاجم المتمركز بين طرفي التواصل بسرقة بيانات الاعتماد الحساسة أثناء عملية نقل البيانات عبر الشبكة.
أما في أنظمة Junos OS وJunos OS Evolved، فقد رصدت الشركة ثغرات متنوعة تتيح تنفيذ هجمات حجب الخدمة (DoS) عبر إرسال حزم بيانات برمجية مصممة لاستهلاك موارد النظام. كما تمنح هذه الثغرات إمكانية الوصول المباشر إلى بطاقات FPC، وصولاً إلى رفع الصلاحيات لمستوى root، وتنفيذ أوامر برمجية تؤدي إلى اختراق بيئات العمل بالكامل.
تعدد مستويات الخطورة وإجراءات الحماية
برزت ضمن الثغرات المكتشفة الثغرة CVE-2026-21916، التي تسمح لمستخدم محلي بصلاحيات محدودة بالترقية إلى مستوى root في إصدارات معينة. كما شملت التنبيهات الثغرة CVE-2026-33788 التي تُمكّن المستخدمين الموثقين من الوصول إلى مكونات FPC، بالإضافة إلى الثغرة CVE-2026-33791 التي تتيح حقن أوامر بصلاحيات كاملة عبر واجهة السطر البرمجي (CLI).
شملت المعالجات أيضاً ثغرات متوسطة الخطورة قد تتسبب في تعطيل الخدمات، أو تسريب معلومات سرية، أو تجاوز سياسات الجدار الناري. ومن أمثلة ذلك الثغرة CVE-2026-33776 التي تسمح بقراءة بيانات حساسة، والثغرة CVE-2026-21919 التي تؤدي إلى انهيار مستوى الإدارة نتيجة تكدس جلسات NETCONF.
أوضحت Juniper أن الإصدارات المتأثرة تشمل نطاقات واسعة، منها 22.4، 23.2، 23.4، 24.2، 24.4، و25.2. ومع تأكيد الشركة عدم رصد أي استغلال فعلي لهذه الثغرات حتى الآن، فقد دعت المستخدمين إلى سرعة تطبيق التحديثات عبر بوابة الدعم الرسمية.
