Juniper Networks Default Credential Vulnerability Allows Unauthorized Full Access
2026/04/10 gbhackers — Juniper Networks が発表したのは、Juniper Support Insights (JSI) Virtual Lightweight Collector (vLWC) に関する重大なセキュリティ・アラートである。この脆弱性 CVE-2026-33784 (CVSS v3.1:9.8) は、デフォルトの認証情報の不備に起因し、未認証のリモート攻撃者に対してデバイスの完全な制御を許すものである。
この脆弱性の根本的な原因は、vLWC ソフトウェアにおける管理者認証情報の初期設定処理にある。新規のデプロイ時において、高権限アカウント用のデフォルト・パスワードが設定された状態でシステムが提供される。続いて、プロビジョニング段階で、システムが初期パスワードの変更を強制しないという問題が発生する。
その結果として、デフォルト・パスワードが有効な状態が維持されるため、既知の認証情報を用いる同一ネットワーク上の攻撃者による、不正アクセスが可能になる。
ログイン後の攻撃者は、高権限の取得/システム設定の改変/データ傍受などに加え、他システムへの横展開の踏み台としての悪用も可能になる。
脆弱性の影響範囲
この脆弱性を悪用する上で、特別な技術やユーザー操作は必要とされないため、ネットワーク経由でアクセス可能な脅威アクターによる攻撃が可能になる。
主な影響内容は、以下の通りである。
- この脆弱性の影響が及ぶ範囲は、vLWC ソフトウェア 3.0.94 未満。
- CVSS v3.1 スコアは 9.8、CVSS v4.0 スコアは 9.3 である。
- Juniper 内部では JDEF-1032 として管理されている。
- この問題は、’内部セキュリティ・テストにより発見された。
- 現時点で、実環境における悪用は確認されていない。
対策
Juniper Networks が強く指摘するのは、vLWC のバージョン 3.0.94 以降へのアップグレードである。この修正版では、プロビジョニング処理が改善され、管理者認証情報が適切に扱われる。
迅速なアップデートが困難な管理者は、デフォルト・パスワードを手動で変更することでリスクを軽減できる。この操作は、デバイスのセットアップ・メニューにログインし、JSI Shell を通じてパスワード設定を変更することで実施される。強固で一意なパスワードへと変更することで、不正アクセスを防止し、正式パッチ適用までの間の安全性を確保できる。
訳者後書:この問題の原因は、Juniper Networks の vLWC ソフトウェアにおいて、管理者アカウントの初期パスワードが設定された状態で提供され、その変更を強制する仕組みが欠落していたことにあります。そのため、ネットワーク経由でアクセス可能な攻撃者が、既知のデフォルト認証情報を用いるだけで、誰でも簡単にデバイスの完全な制御を奪取できる状態になっています。対策としては、提供されているバージョン 3.0.94 以降への速やかなアップデート、あるいは手動でのパスワード変更が不可欠です。よろしければ、Juniper での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.