Juniper SSG5 安全預警：國內超過300台juniper網路設備受後門影響

- 10月 29, 2017

Juniper SSG5 安全預警：國內超過300台juniper網路設備受後門影響

此文章從 http://c.colabug.com/thread-1430496-1-1.html 取得

圖片自 http://www.codesec.net/view/219841.html 取得

0x00. 事件回顧

在2015年的12月18日,Juniper官網發佈安全公告,指出在他們的Netscrren防火牆的ScreenOS軟體中發現未授權的代碼,其中涉及2個安全問題,一個是在VPN的認證代碼實現中被安放後門,允許攻擊者被動解密VPN的流量(CVE-2015-7756),另一個後門是允許攻擊者遠端繞過SSH和Telnet認證,利用後門密碼遠端接管設備(CVE-2015-7755).在Juniper的安全公告後的6個小時,Fox-IT 公司找到了後門密碼,並發佈了Sort規則
通過Sort規則我們可以看出SSH/Telnet的後門密碼是 "<<< %s(un='%s') = %u" (3c3c3c20257328756e3d2725732729203d202575十六進位解碼)
Sort規則:

alert tcp $HOME_NET 23 -> any any (msg:"FOX-SRT - Flowbit - Juniper ScreenOS telnet (noalert)"; flow:established,to_client; content:"Remote Management Console|0d0a|"; offset:0; depth:27; flowbits:set,fox.juniper.screenos; flowbits:noalert; reference:cve,2015-7755; reference:url,http://kb.juniper.net/JSA10713; classtype:policy-violation; sid:21001729; rev:2;)
alert tcp any any -> $HOME_NET 23 (msg:"FOX-SRT - Backdoor - Juniper ScreenOS telnet backdoor password attempt"; flow:established,to_server; flowbits:isset,fox.juniper.screenos; flowbits:set,fox.juniper.screenos.password; content:"|3c3c3c20257328756e3d2725732729203d202575|"; offset:0; fast_pattern; classtype:attempted-admin; reference:cve,2015-7755; reference:url,http://kb.juniper.net/JSA10713; sid:21001730; rev:2;)
alert tcp $HOME_NET 23 -> any any (msg:"FOX-SRT - Backdoor - Juniper ScreenOS successful logon"; flow:established,to_client; flowbits:isset,fox.juniper.screenos.password; content:"-> "; isdataat:!1,relative; reference:cve,2015-7755; reference:url,http://kb.juniper.net/JSA10713; classtype:successful-admin; sid:21001731; rev:1;)
alert tcp $HOME_NET 22 -> $EXTERNAL_NET any (msg:"FOX-SRT - Policy - Juniper ScreenOS SSH world reachable"; flow:to_client,established; content:"SSH-2.0-NetScreen"; offset:0; depth:17; reference:cve,2015-7755; reference:url,http://kb.juniper.net/JSA10713; classtype:policy-violation; priority:1; sid:21001728; rev:1;)

0x01. 受CVE-2015-7755後門影響的Juniper設備型號

根據Juniper的安全公告提及,版本6.2.0r15到6.2.0r18和6.3.0r12到6.3.0r20受影響,Juniper提供了新的 6.2.0和6.3.0build下載,也對去除後門的版本進行了重打包,標識為'b',如ssg500.6.3.0r12b.0.bin和 ssg5ssg20.6.3.0r19b.0.bin.老外對CVE-2015-7756和CVE-2015-7755受影響的Juniper設備版本做了一個圖示，如圖1 (雖然我個人認為他標記2個CVE標記反了)

圖片引用自 http://malwarejake.blogspot.tw/
  0x02. 技術分析：

  這裏只參考hdm的文章分析發現CVE-2015-7755後門漏洞的過程,CVE-2015-7756漏洞涉及很多密碼學的知識,我隨後發佈.
  hdm已經把firmware打包放在了https://github.com/hdm/juniper-cve-2015-7755,其中 SSG500固件是使用x86架構, SSG5和SSG20固件使用XScale (ARMB) 架構,這裏直接把ssg5ssg20.6.3.0r19.0.bin載入IDA,在"Processor Type"裏選擇ARMB,如圖2

圖2
然後修改Loading Address為 0x80000,File Offset為 0x20,如圖3

  圖3
  通過字串參考搜索"strcmp"找到sub_ED7D94函數,但是引用太多,如圖4,圖5.繼續查看字串參考,發現更有趣的字元如"auth_admin_ssh_special"和“auth_admin_internal",通過"auth_admin_internal"發現sub_13DBEC函數,這個函數有個BL sub_ED7D94,F5看下sub_ED7D94,類似"strcmp",如圖6

圖4

圖5

圖6
最後確定後門密碼為 “<<< %s(un='%s') = %u“ ,如圖7

圖7
要想利用還需要知道SSH/TELNET登陸名,通過官方文檔,我們知道默認登陸名為netscreen,又根據sans 蜜罐的結果 https://isc.sans.edu/forums/diary/The+other+Juniper+vulnerability+CVE20157756/20529/ ,摘錄出常用用戶名 root/admin/ ,掃描結果見第三部分
0x03. 國內影響：

經過我個人掃描,全球開放juniper的ssh設備有21869台(為了避免麻煩,忽略了一些已知的蜜罐網路和敏感網路的IP段,實際應該更多),其中中國占2008台.根據shodan的熱詞 “netscreen counter:"CN"" 來看,他得到的中國受影響的IP是2130台.如圖8,而其中受後門影響的設備已經驗證的有317台.如圖9

圖8

  圖9
  另外要說的另一個敏感問題是,除了受後門影響的這317台juniper設備,弱口令問題導致可以登陸設備的有20多台,大部分是netscreen/netscreen,這種安全意識問題,還需要網路管理員注意.
  管理員可通過get event查看登陸日誌.排查是否可以被掃描或登陸

ssg5-serial-> get event
Total event entries = 3072
Date Time Module Level Type Description
2015-12-23 17:25:27 system warn 00515 Admin user system has logged on via
SSH from 1.1.1.1:32366
2015-12-23 17:17:26 system warn 00528 SSH: Password authentication failed

複製代碼

  雖然這個日誌可以通過 ssg5-serial-> get event 來刪除. :)
  0x04. 補丁升級

  可以通過tftp和web介面來升級,具體步驟參考

http://puluka.com/home/techtalknetworking/screenoscriticalsecurityissue2015.html

複製代碼

0x05 參考文章：

Juniper ScreenOS backdoor: the attack demystified
http://www.pentest.guru/index.php/2015/12/21/juniper-screenos-backdoor-attack-demystified/
Juniper Networks - 2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755) - Knowledge Base
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&cat=SIRT_1&actp=LIST
Juniper Follow Up
http://malwarejake.blogspot.com/2015/12/juniper-follow-up.html
CVE-2015-7755: Juniper ScreenOS Authentication Backdoor
https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor

複製代碼

0x06. 要感謝的人：

RY,低調的張老師

Juniper Networks（瞻博網絡）現後門：萬能密碼登錄設備、可解密VPN流量

此文章從 http://www.wenwenti.info/article/183889 取得

Juniper Networks發佈緊急更新，修復ScreenOS上一個“未授權代碼”。攻擊者可以利用該漏洞解密NetScreen設備的VPN流量。

Juniper網絡公司(中文名：瞻博網絡)致力於實現網絡商務模式的轉型。作為全球領先的聯網和安全性解決方案供應商，Juniper網絡公司對依賴網絡獲得戰略性收益的客戶一直給予密切關註。公司的客戶來自全球各行各業，包括主要的網絡運營商、企業、政府機構以及研究和教育機構等。 Juniper網絡公司推出的一系列聯網解決方案，提供所需的安全性和性能來支持全球最大型、最復雜、要求最嚴格的關鍵網絡。

Juniper還沒有對這個代碼漏洞給予任何的評論，但是Juniper的產品已經被從國傢安全局的產品目錄中篩選瞭出來。2013年12月，Jacob Appelbaum、Judit Horchert和Christian Stocker在Der

Spiegel發表的一篇文章中指出，NSA的FEEDTHROUGH植入是為Juniper防火墻量身定制的，給美國政府留下瞭一個永久後門，可隨時訪問這些高端網絡設備。NetScreen應用是一款高端企業防火墻和VPN產品，被通信商和數據中心廣泛使用，ScreenOS是運行在這些應用的操作系統。

內部代碼審計發現兩枚漏洞

Juniper高級副總裁兼首席信息安全官Bob Worrall稱，在最近的內部代碼審計過程中發現瞭兩枚漏洞，影響ScreenOS 6.2.0r15—6.2.0r18，6.3.0r12—6.3.0r20版本。

其中一個是未授權代碼漏洞，可解密VPN流量；另外一個可允許攻擊者通過SSH或者telnet遠程管理訪問設備。Juniper提到這些系統的訪問會被記錄，密碼認證也會成功，但是攻擊者可改變或者刪除日志條目。

“當我們發現這些漏洞時，我們立即對這一問題進行瞭調查研究，開發並發佈最新版本ScreenOS的修復方法。目前為止我們並未收到這兩個漏洞被利用的報道，但是我們還是強烈建議用戶更新系統。”

SRX以及其他基於Junos的系統不受影響，Junos是該公司用於路由、交換、安全的一個高性能網絡操作系統。

CVE-2015-7755細節：

利用該漏（hou）洞(men)，攻擊者可以通過SSH、Telnet以root身份遠程登陸ScreenOS設備，直接獲得設備控制權！通過shodan搜索可以發現：目前國內暴露在公網的netscren設備數量為2172！

ssh [email protected]

後門密碼：<<< %s(un='%s') = %u

升級&修復指南：http://puluka.com/home/techtalknetworking/screenoscriticalsecurityissue2015.html

搜尋此網誌

查理王的電腦部落格