新闻动态
联系我们
  • 公司地址:广东省惠州市惠城区东平半岛惠州大道20号赛格大厦1608号

    联系电话:0752-2072178
    传真:0752-2072168-0 
    邮箱:gdoudi@ouditech.com


Juniper ScreenOS后门是谁做的?
2015-12-22
来源:未知
点击数: 6082          作者:未知
  • Juniper ScreenOS后门是谁做的?

     

    上周(2015/12/17)Juniper公司发布安全公告,宣称在内部代码审计中发现了ScreenOS的两个后门已经被修补,需要用户升级防火墙。采用ScreenOS的防火墙是Netcreen系列,最早由清华留学生在美国创办,于2004年被Juniper收购。被发现后门的版本存在于8年后的2012年,应该是在Juniper管理下研发的。


    两个后门已有CVE编号,第一个CVE-2015-7755是关于远程非授权访问,说白了就是有一个密码,可以直接远程登录后完全管理设备。德国Fox-IT公司在Juniper发布补丁后的6个小时,分析出后门存在的代码位置,逆向出了该密码的明文。第二个CVE-2015-7756是可以解密VPN加密后流量,因为防火墙除了在网络边界过滤数据包之外,一般还启用VPN功能,把经过Internet传输的数据进行加密,防止在链路上进行监听。


    这两个后门是在源代码中植入的,谁这么有本事?是什么动机呢?第二个后门最有可能的动机就是政府了,以反恐为说辞的大规模监控,就需要看到全互联网流量,VPN加密使政府变成了盲人,必须要使用技术手段把流量解密,一般人也没这个能力截取全网流量。


    从技术上分析,是NSA吗?2013年底被公布的NSA ANT工具清单中,有一个FEEDTROUGH是专门针对Juniper NetScreen防火墙的植入,功能描述中提到“can receive and transmit covert channel comms”,是有一个隐蔽通道,不符合第一个后门堂而皇之用预留密码SSH登入的特性。“operates every time the particular Juniper firewall boots. The first hook takes it to the code...” 每次启动是hook一个检查来判断是否要正常启动,是一个动态的植入,而不是在源代码中永久性的植入。再说了,在源码中嵌入一个超级密码,这么Low的做法不是NSA的水准。


    从非技术因素上分析,FBI也开始调查此事件了 --- 大水不能冲了龙王庙,那就不是米国人干的了。美国有官员告诉CNN,是外国势力所为,美国的情报机构没有做,最可疑的中国和俄罗斯。安全圈子的怀疑又加上了UK甚至以色列。


    Juniper在公告中说后门是在“internal code review”过程中发现的,这个也值得怀疑。据说自2009年开始Juniper就集中精力到Junos了,最近也把Junos进行了开源,可以安装到其他白盒子上。谁还有工夫去看多年前的ScreenOS老代码呢?另据说ScreenOS的研发是在中国做的,有没有可能是内部码农被收买?无间道总是最精彩的故事。

热门评论
  • 暂无信息

验证码: 验证码,看不清楚?请点击刷新验证码

地址:广东省惠州市惠城区东平半岛惠州大道20号赛格大厦1608号

电话:0752-2072178  传真:0752-2072168-0  邮箱:gdoudi@ouditech.com广东欧迪科技有限公司 版权所有

Copyright ©2020 Guangdong Oudi Technology Corporation All Rights Reserved.

粤ICP备16018732号-1