Apstra: 管理対象デバイスに対するSSHホストキー検証の脆弱性

ApstraのCVE-2025-13914は、CVSSスコア8.7で、Apstraによって管理されるネットワークに重大なセキュリティリスクをもたらします。この欠陥はSSH実装に関連しており、認証されていない攻撃者が「Man-in-the-Middle」（MITM）攻撃を実行し、管理デバイスをなりすますことを可能にします。不十分なSSHホストキー検証により、攻撃者はApstraと管理デバイス間の通信を傍受および操作し、データ機密性と整合性を損なう可能性があります。主なリスクは、ユーザー認証情報の捕捉であり、これにより攻撃者はネットワークとそのリソースへの不正アクセスを得る可能性があります。

Organizations heavily reliant on Juniper Apstra for network automation and management are particularly at risk. This includes those with complex network topologies and a high volume of SSH connections between Apstra and managed devices. Environments with weak SSH key management practices or limited network segmentation are also more vulnerable.

• linux / server:

journalctl -u apstra -f | grep "SSH_MSG_NEW_SESSION"

• linux / server:

ss -t ssh | grep -i 'established' | awk '{print $5}' | sort | uniq -c

• generic web: Use a network monitoring tool to inspect SSH traffic between Apstra and managed devices for suspicious host key exchanges or unexpected connections.

1. 2026-04-09Disclosure

   disclosure

1. 予約済み2025-12-02
2. 公開日2026-04-09
3. 更新日2026-04-14
4. EPSS 更新日2026-04-17

CVE-2025-13914の主な軽減策は、Apstraをバージョン6.1.1以降にアップグレードすることです。このバージョンには、SSHホストキー検証を強化し、MITM攻撃を防ぐ修正が含まれています。アップグレード中に、Apstraおよび管理デバイスへのアクセスに多要素認証（MFA）などの追加のセキュリティ対策を実装することをお勧めします。また、ネットワークセキュリティポリシーをレビューおよび強化して、潜在的な侵入試行を検出し、対応することも重要です。この重要な脆弱性の暴露期間を最小限に抑えるために、アップグレードを優先する必要があります。