Juniper SSG5 安全預警:國內超過300台juniper網路設備受後門影響



Juniper SSG5 安全預警:國內超過300juniper網路設備受後門影響


此文章從 http://c.colabug.com/thread-1430496-1-1.html 取得

圖片自 http://www.codesec.net/view/219841.html 取得

0x00. 事件回顧

  
2015年的1218,Juniper官網發佈安全公告,指出在他們的Netscrren防火牆的ScreenOS軟體中發現未授權的代碼,其 中涉及2個安全問題,一個是在VPN的認證代碼實現中被安放後門,允許攻擊者被動解密VPN的流量(CVE-2015-7756),另一個後門是允許攻擊 者遠端繞過SSHTelnet認證,利用後門密碼遠端接管設備(CVE-2015-7755).Juniper的安全公告後的6個小時,Fox-IT 公司找到了後門密碼,並發佈了Sort規則
   
通過Sort規則我們可以看出SSH/Telnet的後門密碼是 "<<< %s(un='%s') = %u" (3c3c3c20257328756e3d2725732729203d202575十六進位解碼)
  Sort
規則:

  1. alert tcp $HOME_NET 23 -> any any (msg:"FOX-SRT - Flowbit - Juniper ScreenOS telnet (noalert)"; flow:established,to_client; content:"Remote Management Console|0d0a|"; offset:0; depth:27; flowbits:set,fox.juniper.screenos; flowbits:noalert; reference:cve,2015-7755; reference:url,http://kb.juniper.net/JSA10713; classtype:policy-violation; sid:21001729; rev:2;)
  2. alert tcp any any -> $HOME_NET 23 (msg:"FOX-SRT - Backdoor - Juniper ScreenOS telnet backdoor password attempt"; flow:established,to_server; flowbits:isset,fox.juniper.screenos; flowbits:set,fox.juniper.screenos.password; content:"|3c3c3c20257328756e3d2725732729203d202575|"; offset:0; fast_pattern; classtype:attempted-admin; reference:cve,2015-7755; reference:url,http://kb.juniper.net/JSA10713; sid:21001730; rev:2;)
  3. alert tcp $HOME_NET 23 -> any any (msg:"FOX-SRT - Backdoor - Juniper ScreenOS successful logon"; flow:established,to_client; flowbits:isset,fox.juniper.screenos.password; content:"-> "; isdataat:!1,relative; reference:cve,2015-7755; reference:url,http://kb.juniper.net/JSA10713; classtype:successful-admin; sid:21001731; rev:1;)
  4. alert tcp $HOME_NET 22 -> $EXTERNAL_NET any (msg:"FOX-SRT - Policy - Juniper ScreenOS SSH world reachable"; flow:to_client,established; content:"SSH-2.0-NetScreen"; offset:0; depth:17; reference:cve,2015-7755; reference:url,http://kb.juniper.net/JSA10713; classtype:policy-violation; priority:1; sid:21001728; rev:1;)
  5.  
0x01. CVE-2015-7755後門影響的Juniper設備型號

  
根據Juniper的安全公告提及,版本6.2.0r156.2.0r186.3.0r126.3.0r20受影響,Juniper提供了新的 6.2.06.3.0build下載,也對去除後門的版本進行了重打包,標識為'b',ssg500.6.3.0r12b.0.bin ssg5ssg20.6.3.0r19b.0.bin.老外對CVE-2015-7756CVE-2015-7755受影響的Juniper設備版本做 了一個圖示,如圖1 (雖然我個人認為他標記2CVE標記反了)

0x01. CVE-2015-7755後門影響的Juniper設備型號

  
根據Juniper的安全公告提及,版本6.2.0r156.2.0r186.3.0r126.3.0r20受影響,Juniper提供了新的 6.2.06.3.0build下載,也對去除後門的版本進行了重打包,標識為'b',ssg500.6.3.0r12b.0.bin ssg5ssg20.6.3.0r19b.0.bin.老外對CVE-2015-7756CVE-2015-7755受影響的Juniper設備版本做 了一個圖示,如圖1 (雖然我個人認為他標記2CVE標記反了)
   

   
圖片引用自 http://malwarejake.blogspot.tw/
  
0x02. 技術分析:

  
這裏只參考hdm的文章分析發現CVE-2015-7755後門漏洞的過程,CVE-2015-7756漏洞涉及很多密碼學的知識,我隨後發佈.
  hdm
已經把firmware打包放在了https://github.com/hdm/juniper-cve-2015-7755,其中 SSG500固件是使用x86架構, SSG5SSG20固件使用XScale (ARMB) 架構,這裏直接把ssg5ssg20.6.3.0r19.0.bin載入IDA,"Processor Type"裏選擇ARMB,如圖2
   

  
2
  
然後修改Loading Address 0x80000,File Offset 0x20,如圖3
   

  
3
  
通過字串參考搜索"strcmp"找到sub_ED7D94函數,但是引用太多,如圖4,5.繼續查看字串參考,發現更有趣的字元 如"auth_admin_ssh_special"“auth_admin_internal",通過"auth_admin_internal"發 現sub_13DBEC函數,這個函數有個BL sub_ED7D94,F5看下sub_ED7D94,類似"strcmp",如圖6
     

4
   

5
   

  

6
   
最後確定後門密碼為 “<<< %s(un='%s') = %u“ ,如圖7
   
  

7
   
要想利用還需要知道SSH/TELNET登陸名,通過官方文檔,我們知道默認登陸名為netscreen,又根據sans 蜜罐的結果 https://isc.sans.edu/forums/diary/The+other+Juniper+vulnerability+CVE20157756/20529/ ,摘錄出常用用戶名 root/admin/ ,掃描結果見第三部分
  
0x03. 國內影響:

   
經過我個人掃描,全球開放juniperssh設備有21869(為了避免麻煩,忽略了一些已知的蜜罐網路和敏感網路的IP,實際應該更多),其 中中國占2008.根據shodan的熱詞 “netscreen counter:"CN"" 來看,他得到的中國受影響的IP2130.如圖8,而其中受後門影響的設備已經驗證的有317.如圖9
   


  
8
   

  
9
  
另外要說的另一個敏感問題是,除了受後門影響的這317juniper設備,弱口令問題導致可以登陸設備的有20多台,大部分是netscreen/netscreen,這種安全意識問題,還需要網路管理員注意.
  
管理員可通過get event查看登陸日誌.排查是否可以被掃描或登陸
  1. ssg5-serial-> get event  
  2. Total event entries = 3072
  3. Date       Time     Module Level  Type Description
  4. 2015-12-23 17:25:27 system warn  00515 Admin user system has logged on via
  5.                                        SSH from 1.1.1.1:32366
  6. 2015-12-23 17:17:26 system warn  00528 SSH: Password authentication failed
  7.  
複製代碼
  雖然這個日誌可以通過 ssg5-serial-> get event 來刪除. :)
  
0x04. 補丁升級

  
可以通過tftpweb介面來升級,具體步驟參考
  1. http://puluka.com/home/techtalknetworking/screenoscriticalsecurityissue2015.html
  2.  
複製代碼
0x05 參考文章:
  1. Juniper ScreenOS backdoor: the attack demystified
  2. http://www.pentest.guru/index.php/2015/12/21/juniper-screenos-backdoor-attack-demystified/
  3.  
  4. Juniper Networks - 2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755) - Knowledge Base
  5. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&cat=SIRT_1&actp=LIST
  6.  
  7. Juniper Follow Up
  8. http://malwarejake.blogspot.com/2015/12/juniper-follow-up.html
  9.  
  10. CVE-2015-7755: Juniper ScreenOS Authentication Backdoor
  11. https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor
  12.  
複製代碼
0x06. 要感謝的人:

  RY,
低調的張老師





Juniper Networks(瞻博網絡)現後門:萬能密碼登錄設備、可解密VPN流量


此文章從 http://www.wenwenti.info/article/183889 取得

Juniper Networks發佈緊急更新,修復ScreenOS上一個未授權代碼。攻擊者可以利用該漏洞解密NetScreen設備的VPN流量。

Juniper網絡公司(中文名:瞻博網絡)致力於實現網絡商務模式的轉型。作為全球領先的聯網和安全性解決方案供應商,Juniper網絡公司對 依賴網絡獲得戰略性收益的客戶一直給予密切關註。公司的客戶來自全球各行各業,包括主要的網絡運營商、企業、政府機構以及研究和教育機構等。 Juniper網絡公司推出的一系列聯網解決方案,提供所需的安全性和性能來支持全球最大型、最復雜、要求最嚴格的關鍵網絡。

Juniper還沒有對這個代碼漏洞給予任何的評論,但是Juniper的產品已經被從國傢安全局的產品目錄中篩選瞭出來。201312月,Jacob AppelbaumJudit HorchertChristian StockerDer

Spiegel
發表的一篇文章中指出,NSAFEEDTHROUGH植入是為Juniper防火墻量身定制的,給美國政府留下瞭一個永久後門,可隨時訪 問這些高端網絡設備。NetScreen應用是一款高端企業防火墻和VPN產品,被通信商和數據中心廣泛使用,ScreenOS是運行在這些應用的
操作系統

內部代碼審計發現兩枚漏洞

Juniper高級副總裁兼首席信息安全官Bob Worrall稱,在最近的內部代碼審計過程中發現瞭兩枚漏洞,影響ScreenOS 6.2.0r15—6.2.0r186.3.0r12—6.3.0r20版本。

其中一個是未授權代碼漏洞,可解密VPN流量;另外一個可允許攻擊者通過SSH或者telnet遠程管理訪問設備。Juniper提到這些系統的訪問會被記錄,密碼認證也會成功,但是攻擊者可改變或者刪除日志條目。

當我們發現這些漏洞時,我們立即對這一問題進行瞭調查研究,開發並發佈最新版本ScreenOS的修復方法。目前為止我們並未收到這兩個漏洞被利用的報道,但是我們還是強烈建議用戶更新系統。

SRX以及其他基於Junos的系統不受影響,Junos是該公司用於路由、交換、安全的一個高性能網絡操作系統

CVE-2015-7755細節:

利用該漏(hou)洞(men),攻擊者可以通過SSHTelnetroot身份遠程登陸ScreenOS設備,直接獲得設備控制權!通過shodan搜索可以發現:目前國內暴露在公網的netscren設備數量為2172

ssh [email protected]
後門密碼:<<< %s(un='%s') = %u

升級&修復指南:http://puluka.com/home/techtalknetworking/screenoscriticalsecurityissue2015.html

這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

查理王的電腦部落格-首頁