CVE-2025-60007: Juniper Junos OS空指针解引用导致拒绝服务

漏洞信息

漏洞编号

CVE-2025-60007

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Juniper Networks Junos OS (MX Series, SRX Series, EX Series)

漏洞概述

CVE-2025-60007是Juniper Networks Junos操作系统中chassis daemon (chassisd)存在的一个空指针解引用(Null Pointer Dereference)漏洞。该漏洞允许本地低权限攻击者通过执行带有特定参数的'show chassis'命令触发chassisd进程崩溃并自动重启。由于chassisd负责管理机箱组件，当其崩溃重启时，除路由引擎(Routing Engine)外的所有机箱组件都会被重新初始化，导致系统完全服务中断。虽然系统会自动从中断中恢复，但在恢复期间所有服务不可用，对业务连续性造成影响。此漏洞无需用户交互，攻击复杂度低，本地攻击者即可利用。CVSS 3.1基础评分为5.5，属于中等严重程度。

技术细节

该漏洞位于Juniper Junos OS的chassis daemon (chassisd)组件中。当chassisd处理用户输入的'show chassis'命令时，如果参数经过特殊构造，可能导致代码在访问某个对象时未进行空指针检查就直接解引用该指针。由于chassisd以较高权限运行，负责管理MX、SRX和EX系列设备的硬件组件和状态，攻击者利用此漏洞可使守护进程崩溃。崩溃触发后，系统会自动重启chassisd进程，但在重启过程中会重新初始化所有机箱组件(除RE外)，导致所有依赖这些组件的服务暂时中断。攻击者需要具有本地低权限账户即可执行攻击，无需特殊权限或管理员干预。攻击的成功与否取决于目标系统版本是否在受影响范围内。

攻击链分析

STEP 1

初始访问

攻击者获得Juniper Junos OS设备的本地低权限用户账户

STEP 2

侦察阶段

攻击者登录设备并识别操作系统版本，确认是否在受影响版本范围内

STEP 3

漏洞利用

攻击者执行带有特殊构造参数的'show chassis'命令，触发chassisd中的空指针解引用

STEP 4

进程崩溃

chassisd守护进程因空指针解引用而崩溃

STEP 5

服务中断

系统自动重启chassisd，期间所有机箱组件(除RE外)被重新初始化，导致完全服务中断

STEP 6

自动恢复

系统完成chassisd重启和服务恢复，但期间的业务中断已造成影响

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-60007 PoC - Juniper Junos OS chassisd NULL Pointer Dereference
# Requirements: Local low-privilege access to Junos OS device

echo "[*] CVE-2025-60007 - Juniper Junos OS chassisd DoS PoC"
echo "[*] Target: Junos OS on MX, SRX, EX Series"
echo ""

# Check if we have CLI access
if ! command -v cli &> /dev/null; then
    echo "[-] Error: Junos CLI (cli) not found. This PoC must run on Junos OS."
    exit 1
fi

# Attempt to trigger the vulnerability
# Note: The exact parameters are vendor-confidential
# This demonstrates the attack vector
echo "[+] Attempting to trigger chassisd vulnerability..."
echo "[!] This may cause system instability"

# Potential trigger command patterns (actual exploit requires specific parameters)
# These are placeholder patterns based on the vulnerability description

# Pattern 1: Show chassis with specific options
cli -c "show chassis ?" 2>/dev/null || echo "[i] CLI access limited"

# Pattern 2: Monitor the chassisd process
cli -c "show system processes chassisd" 2>/dev/null || echo "[i] Cannot query chassisd"

# Check chassisd status before and after
echo ""
echo "[*] Checking chassisd process status..."
cli -c "show system processes extended" 2>/dev/null | grep -i chassisd || echo "[i] Cannot verify chassisd"

echo ""
echo "[*] PoC execution completed"
echo "[!] If vulnerable, chassisd may have crashed and restarted"

影响范围

Junos OS MX/SRX/EX Series < 22.4R3-S8

Junos OS MX/SRX/EX Series 23.2 < 23.2R2-S5

Junos OS MX/SRX/EX Series 23.4 < 23.4R2-S6

Junos OS MX/SRX/EX Series 24.2 < 24.2R2-S2

Junos OS MX/SRX/EX Series 24.4 < 24.4R2

MX10000 Series和MX304 Series不受影响

防御指南

临时缓解措施

如果无法立即升级，可采取以下缓解措施：1) 限制对设备的本地访问权限，确保只有可信用户才能登录；2) 监控系统日志，关注chassisd异常行为；3) 配置系统告警，当chassisd进程异常时及时通知管理员；4) 考虑使用Junos Space或瞻博网络安全订阅服务监控设备健康状态；5) 在维护窗口期间进行版本升级，避免业务高峰期受影响。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60007
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60007
3 Details https://www.cvedetails.com/cve/CVE-2025-60007/
4 VulDB https://vuldb.com/cve/CVE-2025-60007
5 Link https://kb.juniper.net/JSA103173
6 Link https://supportportal.juniper.net/