Plateforme
linux
Composant
apstra
Corrigé dans
6.1.1
La vulnérabilité CVE-2025-13914 affecte Apstra, un logiciel de gestion de réseau. Elle se manifeste par une faille d'échange de clés SSH sans authentification d'entité, permettant à un attaquant non authentifié de mener une attaque de l'homme du milieu (MITM) et d'usurper des appareils gérés. Cette vulnérabilité touche toutes les versions d'Apstra antérieures à 6.1.1. Une correction est disponible dans la version 6.1.1.
La vulnérabilité CVE-2025-13914 dans Apstra, avec un score CVSS de 8.7, représente un risque de sécurité important pour les réseaux gérés par Apstra. Cette faille, liée à l'implémentation SSH, permet à un attaquant non authentifié de lancer une attaque de type « homme du milieu » (MITM) et d'usurper l'identité des périphériques gérés. L'absence de validation adéquate des clés d'hôte SSH permet à un attaquant d'intercepter et de manipuler les communications entre Apstra et les périphériques, compromettant potentiellement la confidentialité et l'intégrité des données. Le risque principal est la capture d'identifiants d'utilisateur, ce qui pourrait donner à l'attaquant un accès non autorisé au réseau et à ses ressources.
Un attaquant ayant accès au réseau où Apstra fonctionne peut exploiter cette vulnérabilité. L'attaquant intercepterait le trafic SSH entre Apstra et les périphériques gérés, en présentant de fausses clés d'hôte. Apstra, ne validant pas correctement ces clés, établirait une connexion avec l'attaquant, qui pourrait alors intercepter et modifier les données transmises. Cette attaque est particulièrement dangereuse car elle est relativement facile à exécuter et peut avoir de graves conséquences, telles que l'accès non autorisé à des informations sensibles et le contrôle des périphériques réseau. L'absence de KEV (Key Exchange without Entity Authentication) aggrave la situation.
Organizations heavily reliant on Juniper Apstra for network automation and management are particularly at risk. This includes those with complex network topologies and a high volume of SSH connections between Apstra and managed devices. Environments with weak SSH key management practices or limited network segmentation are also more vulnerable.
• linux / server:
journalctl -u apstra -f | grep "SSH_MSG_NEW_SESSION"• linux / server:
ss -t ssh | grep -i 'established' | awk '{print $5}' | sort | uniq -c• generic web: Use a network monitoring tool to inspect SSH traffic between Apstra and managed devices for suspicious host key exchanges or unexpected connections.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation pour CVE-2025-13914 consiste à mettre à niveau Apstra vers la version 6.1.1 ou ultérieure. Cette version inclut des corrections qui renforcent la validation des clés d'hôte SSH, empêchant ainsi les attaques MITM. Pendant la mise à niveau, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires, telles que l'authentification à deux facteurs (2FA) pour l'accès à Apstra et aux périphériques gérés. Il est également important de revoir et de renforcer les politiques de sécurité du réseau afin de détecter et de répondre aux tentatives d'intrusion potentielles. La mise à niveau doit être priorisée afin de minimiser la période d'exposition à cette vulnérabilité critique.
Actualice Apstra a la versión 6.1.1 o posterior para mitigar la vulnerabilidad de validación de la clave del host SSH. Esta actualización corrige la forma en que Apstra valida las claves del host SSH, previniendo ataques de intermediario y protegiendo las credenciales del usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Une attaque MITM se produit lorsqu'un attaquant intercepte la communication entre deux parties, se faisant passer pour l'une d'elles. Cela permet à l'attaquant d'espionner, de modifier ou même de bloquer la communication.
La validation des clés d'hôte SSH est un processus qui vérifie l'authenticité du serveur SSH auquel vous vous connectez. Elle garantit que vous vous connectez au bon serveur et non à un imposteur.
Si la mise à niveau immédiate n'est pas possible, mettez en œuvre des mesures de sécurité supplémentaires, telles que 2FA, et examinez les politiques de sécurité du réseau. Surveillez activement le réseau à la recherche d'activités suspectes.
Il existe des systèmes de détection d'intrusion (IDS) et des systèmes de prévention d'intrusion (IPS) qui peuvent aider à détecter les attaques MITM. Des outils d'analyse du trafic réseau peuvent également être utilisés.
Consultez les notes de publication d'Apstra 6.1.1 et les ressources d'information sur la sécurité informatique, telles que la base de données des vulnérabilités nationales (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.