Juniper Networks 默认密码漏洞使攻击者能够完全控制设备

一条关键安全警报警告称，Support Insights Virtual Lightweight Collector (vLWC) 设备存在严重的默认密码漏洞 。

该漏洞使得未经身份验证的网络攻击者能够轻松获得对暴露的网络设备的完全管理控制权。

该漏洞正式编号为 CVE-2026-33784，其通用漏洞评分系统 (CVSS v3.1) 得分接近最高分 9.8 分（满分 10 分）。

极高的分数反映出网络犯罪分子可以多么轻易地远程利用这一漏洞 ，而无需事先访问系统或与用户交互。

了解漏洞

CVE-2026-33784 的根本原因非常简单明了，但却极其危险。

Juniper vLWC 软件镜像由制造商直接发货，并预配置了与高权限管理员帐户绑定的初始密码。

通常，安全软件配置要求管理员在首次登录时更改默认凭据。然而，vLWC 软件未能强制执行设备初始设置期间的密码重置。

如果网络管理员在部署过程中忘记手动更新凭据，则设备仅受公开的默认密码保护。

由于存在漏洞的帐户拥有高级权限，因此攻击者使用这些默认凭据登录后，即可立即获得系统的完全控制权。

这使得未经授权的行为者能够拦截数据、更改网络配置，或者利用被入侵的收集器作为支点，对更广泛的企业网络发起进一步攻击。

此安全漏洞影响 3.0.94 之前的所有 Juniper vLWC 版本。如果使用旧版本 Virtual Lightweight Collector 的组织未更改其默认密码，则存在风险。

幸运的是，对于网络防御者而言， Juniper 安全事件响应团队 (SIRT) 在例行产品安全测试和研究过程中内部发现了这个问题 。

截至发稿时，该公司尚未发现任何恶意威胁行为者在实际环境中利用此漏洞。

然而，由于自动僵尸网络和勒索软件团伙很容易扫描默认密码，管理员必须将此视为紧急威胁。

为保护网络免受潜在收购，瞻博网络敦促管理员立即采取补救措施。

安全团队应采用以下解决方案来保护其基础设施：

• 将易受攻击的系统升级到 vLWC 软件版本 3.0.94 或任何后续版本，这些版本已正式修复了强制执行问题。
  
• 如果补丁程序延迟，请立即通过 JSI Shell 登录到设备设置菜单。
  
• 手动将默认管理员密码更改为强密码、 唯一密码，以阻止未经授权的访问。
  

建议管理员查阅 Juniper 官方配置文档，以确保其网络设置已正确锁定，防止未经授权的访问。