Plattform
linux
Komponente
apstra
Behoben in
6.1.1
CVE-2025-13914 describes a Key Exchange without Entity Authentication vulnerability within the SSH implementation of Juniper Networks Apstra. This flaw allows an unauthenticated attacker to execute a man-in-the-middle (MITM) attack, potentially impersonating managed devices and compromising sensitive data. The vulnerability impacts all Apstra versions prior to 6.1.1, and a fix is available in version 6.1.1.
CVE-2025-13914 in Apstra, mit einem CVSS-Score von 8.7, stellt ein erhebliches Sicherheitsrisiko für Netzwerke dar, die von Apstra verwaltet werden. Dieser Fehler, der mit der SSH-Implementierung zusammenhängt, ermöglicht einem nicht authentifizierten Angreifer, einen "Man-in-the-Middle" (MITM)-Angriff durchzuführen und verwaltete Geräte zu imitieren. Eine unzureichende SSH-Host-Key-Validierung ermöglicht es einem Angreifer, die Kommunikation zwischen Apstra und verwalteten Geräten abzufangen und zu manipulieren, wodurch potenziell die Vertraulichkeit und Integrität der Daten gefährdet wird. Das Hauptrisiko ist die Erfassung von Benutzeranmeldeinformationen, was dem Angreifer potenziell unbefugten Zugriff auf das Netzwerk und dessen Ressourcen gewähren könnte.
Ein Angreifer, der Zugriff auf das Netzwerk hat, in dem Apstra betrieben wird, kann diese Schwachstelle ausnutzen. Der Angreifer würde den SSH-Verkehr zwischen Apstra und verwalteten Geräten abfangen und falsche Host-Keys präsentieren. Apstra würde diese Schlüssel nicht ordnungsgemäß validieren und eine Verbindung zum Angreifer aufbauen, der dann die übertragenen Daten abfangen und manipulieren könnte. Dieser Angriff ist besonders gefährlich, da er relativ einfach durchzuführen ist und schwerwiegende Folgen haben kann, wie z. B. unbefugter Zugriff auf sensible Informationen und die Kontrolle über Netzwerkgeräte. Das Fehlen von KEV (Key Exchange without Entity Authentication) verschärft die Situation.
Organizations heavily reliant on Juniper Apstra for network automation and management are particularly at risk. This includes those with complex network topologies and a high volume of SSH connections between Apstra and managed devices. Environments with weak SSH key management practices or limited network segmentation are also more vulnerable.
• linux / server:
journalctl -u apstra -f | grep "SSH_MSG_NEW_SESSION"• linux / server:
ss -t ssh | grep -i 'established' | awk '{print $5}' | sort | uniq -c• generic web: Use a network monitoring tool to inspect SSH traffic between Apstra and managed devices for suspicious host key exchanges or unexpected connections.
disclosure
Exploit-Status
EPSS
0.04% (11% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abhilfemaßnahme für CVE-2025-13914 ist das Upgrade von Apstra auf Version 6.1.1 oder höher. Diese Version enthält Korrekturen, die die SSH-Host-Key-Validierung verstärken und so MITM-Angriffe verhindern. Während des Upgrades wird empfohlen, zusätzliche Sicherheitsmaßnahmen zu implementieren, wie z. B. die Verwendung der Zwei-Faktor-Authentifizierung (2FA) für den Zugriff auf Apstra und verwaltete Geräte. Es ist auch wichtig, die Netzwerksicherheitsrichtlinien zu überprüfen und zu verstärken, um potenzielle Eindringungsversuche zu erkennen und darauf zu reagieren. Das Upgrade sollte priorisiert werden, um das Expositionsfenster für diese kritische Schwachstelle zu minimieren.
Actualice Apstra a la versión 6.1.1 o posterior para mitigar la vulnerabilidad de validación de la clave del host SSH. Esta actualización corrige la forma en que Apstra valida las claves del host SSH, previniendo ataques de intermediario y protegiendo las credenciales del usuario.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein MITM-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Parteien abfängt und sich als eine von ihnen ausgibt. Dies ermöglicht dem Angreifer, die Kommunikation auszuspionieren, zu manipulieren oder sogar zu blockieren.
Die SSH-Host-Key-Validierung ist ein Prozess, der die Authentizität des SSH-Servers überprüft, mit dem Sie eine Verbindung herstellen. Es stellt sicher, dass Sie sich mit dem richtigen Server verbinden und nicht mit einem Betrüger.
Wenn ein sofortiges Upgrade nicht möglich ist, implementieren Sie zusätzliche Sicherheitsmaßnahmen wie 2FA und überprüfen Sie die Netzwerksicherheitsrichtlinien. Überwachen Sie das Netzwerk aktiv auf verdächtige Aktivitäten.
Es gibt Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS), die helfen können, MITM-Angriffe zu erkennen. Es können auch Tools zur Analyse des Netzwerkverkehrs verwendet werden.
Konsultieren Sie die Versionshinweise von Apstra 6.1.1 und Informationsquellen zum Thema IT-Sicherheit, wie z. B. die National Vulnerability Database (NVD).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.