搜索
查看: 4121|回复: 0

Juniper 设备 NetScreenOS 系统被爆存在后门

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2015-12-21 22:45:28 | 显示全部楼层 |阅读模式
netscreen后门事件回顾:

“在最近的一次内部代码审查中,Juniper 网络公司发现ScreenOS中未经授权的代码,可以让资深的攻击者获得对NetScreen设备的管理权限和解密VPN连接,” Juniper网络公司的首席信息官鲍勃·沃勒尔写道。 “一旦我们确定了这些漏洞,我们就会展开了调查此事,并努力开发并发布补丁版本——ScreenOS中的最新版本。”

Juniper 网络公司的独立顾问提到,有两个不同的漏洞还不足以被称为“未经授权的代码”。公告中提到:“第一个漏洞允许在受影响的设备通过SSH或Telnet进行未经授权的远程管理访问。该漏洞可以导致彻底的危害。第二个漏洞可能允许可以监控VPN流量的资深攻击者及进行流量解密。” “第一个漏洞是独立存在的,没有办法来检测该漏洞是否已经被利用了。”

详细的原文可以查看360播报平台:

http://bobao.360.cn/news/detail/2514.html

受影响版本:

6.2.0r15 到6.2.0r18

6.3.0r12 到 6.3.0r20

HDMOORE对后门的分析:

周六hdmoore分析了netscreen固件,并发表了文章,文章链接地址https://community.rapid7.com/com ... entication-backdoor

受影响的老版本的ScreenOS可以通过下面地址下载:

https://s3.amazonaws.com/dmk/ns5xt.5.0.0r11.0.zip

https://s3.amazonaws.com/dmk/ns5xt.5.0.0r11.0.zip

载入ssg5ssg20.6.3.0r19.0.bin固件到IDA中,通过在静态分析sub_ED7D94函数,搜索strcmp,可以看到auth_admin_ssh_special和auth_admin_internal,继续在sub_13DBEC 中搜索auth_admin_internal,发现后门字符串为 <<< %s(un='%s') = %u

t0119153a13143be999.jpg

通过shodan搜索目前国内netscren的数量为 2130:



笔者随便测试了下,就有几个成功的

t012d388bb8d2fd5811.jpg

不仅仅可以通过ssh 22来登录 主机,telnet 23也受影响

修复建议:

及时升级netscreen,具体操作可以参考

http://puluka.com/home/techtalknetworking/screenoscriticalsecurityissue2015.html
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表