广东网警发布“安网2016”行动第八期通报

  [复制链接] 0
收藏
0
回复
29306
查看
打印 上一主题 下一主题

签到天数: 3 天

连续签到: 1 天

[LV.2]偶尔看看I

楼主
跳转到指定楼层
发表于 2015-12-30 09:46:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
       近期,网络设备制造商Juniper Networks发布了安全公告,此公告中涉及两个不同的问题:一是攻击者在SSH和Telnet会话中,以管理员身份绕过身份验证(CVE-2015-7755);二是通过允许攻击者远程检测VPN流量,并对流量进行解密(CVE-2015-7756)。公安厅网警总队组织技术支撑单位对全省有关使用Juniper Networks设备的网络安全情况进行了检查监测,还发现了其他的网络安全问题。

       一、存在问题
       一是绕过身份验证。通过载入ssg5ssg20.6.3.0r19.0.
bin固件到IDA中,通过在静态分析sub_ED7D94函数,搜索strcmp,可以看到auth_admin_ssh_special和auth_admin_internal,继续在sub_13DBEC 中搜索auth_admin_internal,发现后门字符串为 <<< %s(un='%s') = %u(即后门密码)。攻击者利用该漏洞可以直接进入后台,获取管理相关操纵、配置等权限,进入后台查看系统配置。

      二是远程检测VPN流量。针对Juniper VPN 解密漏洞(即CVE-2015-7756 ) ,目前尚无针对该漏洞的检测和防护方法。根据Juniper的安全公告,版本6.2.0r15到6.2.0r18和6.3.0r12到6.3.0r20受到影响,当前如使用了存在该解密漏洞的VPN设备传输数据时,可能导致数据在互联网传输过程中被抓取进行解密,从而获取用户的敏感信息。

      三是使用缺省口令。针对Juniper NetScreenOS"后门"事件,技术支撑单位进行持续追踪,发现一些单位使用该设备的单位未更改缺省口令。攻击者利用该漏洞可以直接进入后台,获取管理相关操纵、配置等权限,进入后台查看系统配置,利用效果如图。攻击者利用该漏洞也可以直接进入前台web管理页面,获取管理等相关操权限。

      二、防范建议
据不完全摸查,广东省共计316个ip地址正在使用Juniper NetScreenOS系统,其中有26台设备存在已知后门严重安全隐患和缺省口令(弱口令)的严重安全隐患。请有关单位立即梳理本单位的网络设备,排查安全隐患,提高安全意识,确保网络安全。一是下载补丁。针对第一个问题,Juniper公司已发布了一个安全公告以及相应安全补丁。补丁下载链接为http://www.juniper.net/support/downloads/screenos。二是升级版本。针对Juniper VPN 解密漏洞(即CVE-2015-7756 ),将涉及该漏洞的相关版本用户及时升级。三是修改密码。对使用缺省口令的要及时进行修改,堵塞安全隐患。

(平安南粤网 编辑:牧羊)




使用高级回帖 (可批量传图、插入视频等)快速回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则   Ctrl + Enter 快速发布  

发帖时请遵守我国法律,网站会将有关你发帖内容、时间以及发帖IP地址等记录保留,只要接到合法请求,即会将信息提供给有关政府机构。

广播台

      关闭

      最新公告上一条 /1 下一条

      返回顶部找客服
      快速回复 返回顶部 返回列表