帮助中心

HELP

Juniper 设备 NetScreenOS 系统被爆存在后门

受影响版本:


6.2.0r15 到6.2.0r18


6.3.0r12 到 6.3.0r20


HDMOORE对后门的分析:


周六hdmoore分析了netscreen固件,并发表了文章,文章链接地址为https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor


受影响的老版本的ScreenOS可以通过下面地址下载:


https://s3.amazonaws.com/dmk/ns5xt.5.0.0r11.0.zip


https://s3.amazonaws.com/dmk/ns5xt.5.0.0r11.0.zip


载入ssg5ssg20.6.3.0r19.0.bin固件到IDA中,通过在静态分析sub_ED7D94函数,搜索strcmp,可以看到auth_admin_ssh_special和auth_admin_internal,继续在sub_13DBEC 中搜索auth_admin_internal,发现后门字符串为 <<< %s(un='%s') = %u


修复建议:


及时升级netscreen,具体操作可以参考


http://puluka.com/home/techtalknetworking/screenoscriticalsecurityissue2015.html


发布于2015-12-21 13:01:15 已有1288访问此内容。