Tìm thấy Juniper Firewall Backdoor Password trong 6h

Các chuyên gia bảo mật đã phân tích và tìm ra được lỗ hổng backdoor của tường lửa Juniper. Và có thể sử dụng để khai thác quyền quản trị và giải mã VPN.

Đội ngủ mạng và bảo mật của công ty Juniper Networks công bố rằng họ đã xác định được mã trái phép trong ScreenOS, hệ điều hành của tường lửa NetScreen của công ty.
Các mã trái phép khai thác hai lỗ hổng:

• Khai thác quyền quản trị các thiết bị NetScreen (CVE-2015-7755)
• Thừa hưởng từ “Knowledge attacker” những người có thể theo dõi lưu lượng truy cập VPN để giải mã các kết nối VPN (CVE -2.015-7756).

Juniper ban đầu tin rằng cả hai lỗ hổng ảnh hưởng đến các phiên bản hệ điều hành ScreenOS 6.2.0r15 qua 6.2.0r18 và 6.3.0r12 qua 6.3.0r20. Tuy nhiên, các công ty sau đó xác định rằng lỗ hổng truy cập quản trị chỉ có tác động ScreenOS 6.3.0r17 qua 6.3.0r20.
Các lỗ hổng bảo mật đã được vá với việc phát hành ScreenOS 6.2.0r19 và 6.3.0r21. Các bản sửa lỗi cũng được bao gồm trong phiên bản 6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b, 6.3.0r18b và 6.3.0r19b.
Xác thực Backdoor
Các lỗ hổng đã được phân tích bởi các nhà nghiên cứu bên ngoài. Chuyên gia Fox-IT cho biết họ chỉ mất 6 giờ để tìm ra mật mã xác thực backdoor ScreenOS.
Sau khi phân tích sự khác biệt giữa các phiên bản dễ bị khai thác và bản vá của ScreenOS, Rapid7 của HD Moore xác định rằng các backdoor authenticate, có thể được khai thác thông qua SSH hoặc Telnet, bao gồm các mật khẩu mặc định <<<% s (un = ‘% s’) =% u.
Password này, có lẽ đã được đặt theo cách khiến nó sẽ bị nhầm lẫn với một trong các định dạng chuỗi debug rất nhiều người thấy trong các mã, có thể được thừa hưởng bởi một kẻ tấn công biết tên người dùng hợp lệ cho các thiết bị.
Một mặt, nó rất khó để nói nếu lỗ hổng này đã được khai thác trong tự nhiên vì mặc dù cố gắng truy cập trái phép sẽ được đăng nhập bình thường, thật dễ dàng cho kẻ tấn công để xóa các mục đăng nhập có liên quan. Tuy nhiên, như Moore đã nhấn mạnh trong các bản ghi có thể được gửi đến một máy chủ tập trung, có thể dẫn đến một cảnh báo được kích hoạt.
“Nếu bạn muốn kiểm tra vấn đề này bằng tay, telnet hoặc ssh để một thiết bị Netscreen, chỉ định một tên người dùng hợp lệ, và mật khẩu backdoor. Nếu thiết bị đang bị tổn thương, bạn sẽ nhận được một bao tương tác với những đặc quyền cao nhất “, Moore giải thích.
Các nhà nghiên cứu đã chỉ ra rằng khoảng 26.000 thiết bị NetScreen được mở cho Internet thông qua SSH.
VPN Giải mã dễ bị khai thác
Kỹ sư bảo mật của Google – Adam Langley đã đăng một bài trên blog tổng kết những phát hiện của các chuyên gia khác nhau liên quan đến việc giải mã VPN.
Thực tế, ScreenOS sử dụng Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC DRBG) là một bộ tạo số giả ngẫu nhiên (pseudo-random number generator – PRNG). Dual EC DRBG là tâm điểm vào cuối năm 2013 khi có báo cáo rằng, Cơ quan An ninh Quốc gia Mỹ đã tạo ra một backdoor trong thuật toán mã hóa và sau đó bị cáo buộc đã chi trả RSA 10 triệu USA để các công ty sử dụng nó theo mặc định trong bộ công cụ.
Langley giải thích : “Nếu một kẻ tấn công có thể dự đoán dữ liệu đầu ra của PRNG, sau đó họ có thể biết các key của một hoặc cả hai bên kết nối VPN thì người đó sẽ lựa chọn và giải mã được kết nối dó,”.
Juniper Networks đã thừa nhận sử dụng Dual EC DRBG chuẩn trong ScreenOS, nhưng công ty tuyên bố nó đã không được sử dụng như là primary RNG và nó không sử dụng các điểm được xác định trước được trích dẫn bởi NIST, có nghĩa là nó không dễ bị khai thác.
“Trong khoảng thời gian ngắn, họ đã sử dụng một RNG backdoored nhưng thay đổi các lock. Sau đó, cuộc tấn công này có thể được giải thích bằng cách nói rằng ai đó đã phá vỡ và thay đổi các lock một lần nữa, “Langley lưu ý. “Chúng tôi không chắc đó là thực tế những gì đã xảy ra, nhưng nó có vẻ giống như một giả thuyết hợp lý vào thời điểm này. Nếu chính xác, điều này là quá yếu. Dual-EC không phải là một RNG hợp lý: nó lớn hơn, chậm hơn và phức tạp hơn RNGs tiêu chuẩn.”
Tags : Juniper Firewall, ScreenOS, Backdoor password, thiet bi switch cisco chinh hang