'的后门密码已披露,可能在2013年末添加

攻击者需要的只是密码和有效的用户名

杜松Netscreen 5200 2
Juniper

Rapid7'首席研究官HD Moore发布了有关ScreenOS事件的一些说明。在分析了,摩尔发布的补丁之后'的团队发现了启用Telnet和SSH绕过的后门密码。

在Rapid7社区门户上的博客文章中,摩尔说,Shodan的快速搜索发现了26,000台SSH开放的面向公众的Netscreen设备。考虑到12月18日披露的问题的严重性,他的团队开始深入研究。

上个星期,  said that an internal audit uncovered unauthorized code 已添加到ScreenOS。添加的代码创建了两个安全问题。第一个是身份验证绕过,第二个问题是允许攻击者监视和解密VPN流量。

为了解决由添加的代码创建的问题,发布了其ScreenOS的新版本,但是在删除后门的情况下重建了旧版本的固件。摩尔的团队分析了重建的更新并发现了后门密码。作为分析工作的一部分,解压缩的二进制文件 已在GitHub上提供.

至于后门密码本身,在旧固件中的“ strcmp”调用中清晰可见:

<<< %s(un='%s') = %u

“使用此密码,攻击者只要知道有效的用户名,就可以绕过SSH和Telnet的身份验证。如果要手动测试此问题,通过telnet或SSH到Netscreen设备,请指定有效的用户名和后门密码如果设备容易受到攻击,您应该获得具有最高特权的交互式外壳。”

该帖子还做了一个有趣的观察。虽然声称的版本6.2.0r15至6.2.0r18和6.3.0r12至6.3.0r20受后门问题的影响,但旧版本的ScreenOS中不存在身份验证旁路。

“我们无法在版本6.2.0r15、6.2.0r16、6.2.0r18中识别出此后门程序,可以肯定地说整个6.2.0系列不受此问题影响(尽管存在VPN问题)。我们也无法识别6.3.0r12或6.3.0r14版本中的身份验证后门。”

摩尔的团队还能够确认版本6.3.0r17和6.3.0r19受到了影响。摩尔说,这很有趣,因为虽然第一个受影响的ScreenOS版本是在2012年发布的,但直到2013年下半年才发布身份验证后门。

据说检测到针对身份验证旁路的攻击是没有希望的,因为攻击者可以轻松删除日志。但是,任何发送到中央日志记录服务器或SIEM的日志都将被捕获,并可用于触发警报。

Fox-IT创建了Snort规则 使用后门密码检测访问。

Rapid7是第二家检测到后门密码的公司,Fox-IT首先找到了它,但没有公开披露。如果这两家公司能够轻松找到它,那么罪犯也很可能也找到了它。

对于全球的IT团队来说,这将是繁忙的一周,因为到处都是。

目前尚不清楚ScreenOS中的恶意代码是从哪里来的,但这是以后要回答的问题。目前,最重要的任务是补丁管理,并将更新推送到易受攻击的设备。

版权© 2015 IDG通讯,Inc.