Platform
linux
Component
apstra
Opgelost in
6.1.1
CVE-2025-13914 beschrijft een Key Exchange zonder Entity Authenticatie (KE without Entity Authentication) kwetsbaarheid in de SSH-implementatie van Juniper Networks Apstra. Deze kwetsbaarheid maakt een ongeauthenticeerde man-in-the-middle (MITM) aanvaller in staat om beheerde apparaten te vervalsen. De kwetsbaarheid treft alle versies van Apstra vóór 6.1.1 en vereist een upgrade naar de beveiligde versie om de risico's te mitigeren.
Een succesvolle exploitatie van CVE-2025-13914 stelt een aanvaller in staat om een MITM-aanval uit te voeren op SSH-verbindingen tussen Apstra en beheerde apparaten. Hierdoor kan de aanvaller zich voordoen als een beheerd apparaat en gevoelige informatie onderscheppen, waaronder gebruikerscredentials. De impact is aanzienlijk, omdat de aanvaller toegang kan krijgen tot het beheer van de netwerkinfrastructuur en potentieel configuratiewijzigingen kan aanbrengen of de werking van het netwerk kan verstoren. Dit is vergelijkbaar met scenario's waarbij SSH-sleutels worden gestolen om ongeautoriseerde toegang te krijgen tot systemen.
De kwetsbaarheid is openbaar bekend en de ernst is beoordeeld als hoog (CVSS score 8.7). Er zijn momenteel geen bekende actieve campagnes die specifiek deze kwetsbaarheid uitbuiten, maar de mogelijkheid bestaat gezien de relatieve eenvoud van MITM-aanvallen. De publicatie datum is 2026-04-09. De kwetsbaarheid staat niet op KEV en de EPSS score is nog niet bekend.
Organizations heavily reliant on Juniper Apstra for network automation and management are particularly at risk. This includes those with complex network topologies and a high volume of SSH connections between Apstra and managed devices. Environments with weak SSH key management practices or limited network segmentation are also more vulnerable.
• linux / server:
journalctl -u apstra -f | grep "SSH_MSG_NEW_SESSION"• linux / server:
ss -t ssh | grep -i 'established' | awk '{print $5}' | sort | uniq -c• generic web: Use a network monitoring tool to inspect SSH traffic between Apstra and managed devices for suspicious host key exchanges or unexpected connections.
disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-13914 is het upgraden van Apstra naar versie 6.1.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen, zoals het gebruik van sterke SSH-sleutels en het beperken van de toegang tot de SSH-poort. Het monitoren van SSH-verbindingen op verdachte activiteit is ook aan te raden. Na de upgrade, verifieer de correcte werking van SSH-verbindingen met beheerde apparaten om er zeker van te zijn dat de kwetsbaarheid is verholpen.
Actualice Apstra a la versión 6.1.1 o posterior para mitigar la vulnerabilidad de validación de la clave del host SSH. Esta actualización corrige la forma en que Apstra valida las claves del host SSH, previniendo ataques de intermediario y protegiendo las credenciales del usuario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13914 is a HIGH severity vulnerability in Juniper Apstra allowing an unauthenticated attacker to perform a man-in-the-middle attack on SSH connections, potentially impersonating managed devices.
If you are using Juniper Apstra versions 0.0.0 through 6.1.1, you are potentially affected by this vulnerability. Upgrade to version 6.1.1 or later to mitigate the risk.
The recommended fix is to upgrade to Juniper Apstra version 6.1.1 or later. If an immediate upgrade is not possible, implement temporary workarounds such as strengthening SSH key management.
While active exploitation is not currently confirmed, the vulnerability's nature suggests a potential for exploitation, and careful monitoring is advised.
Refer to the official Juniper Security Advisory for CVE-2025-13914 on the Juniper Networks website for detailed information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.