セキュリティ対策の株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

アーカイブ

Juniper社ScreenOSの脆弱性に関する注意喚起

2015年12月28日 | 注意喚起

ラックが運営するセキュリティ監視センター『JSOC』は、12月17日にJuniper社よりファイアウォール製品で動作するScreenOSにおいて、管理アクセスにおける認証回避の脆弱性(CVE-2015-7755)が公開された件に関して検証を行い、本脆弱性を用いることで一部のバージョンにおいて実際に認証を回避した管理アクセスが可能なことを確認しました。
本脆弱性を悪用することにより、攻撃者によってファイアウォールの設定を変更されるなどの重大な被害が発生する可能性があるため、修正済みのバージョンへアップデートを促すための注意喚起情報を公開しました。

メール

注意喚起情報は、ラックメールマガジン(臨時号)にて、
いち早く皆様にお知らせしています

配信をご希望の方はこちらからご登録いただけます。

なお、本注意喚起についての検証結果などを記載した情報がラック公式ブログに掲載されています。
併せてご確認ください。

概要

Juniper社のファイアウォール製品において、ScreenOSの特定バージョンを使用し、TELNETやSSHによる遠隔管理を有効にしている環境において、ユーザ名に依存せず、容易にリモートからログインされてしまう危険性があります。

影響を受ける可能性がある環境

・製品
Juniper社製ファイアウォール製品のうち対象のScreenOSを利用している機器

・ソフトウェアバージョン
ScreenOS 6.3.0r17~6.3.0r20

JSOCが検証した環境

Juniper SSG 5 ScreenOS 6.3.0r17

不正ログインの確認方法

仮に攻撃者が"aaaa"というユーザ名でSSHによる不正ログインを試み、攻撃が成功した場合、同時刻に以下のようなログが記録されます。

例)
2015-12-21 HH:MM:SS system warn00515 Admin user system has logged on via SSH from [ログイン元IPアドレス]:ポート
2015-12-21 HH:MM:SS system warn00528 SSH: Password authentication successful for admin user 'aaaa' at host [ログイン元IPアドレス]

"aaaa"というアカウント名でログインを試みたにも関わらず、1行目の Admin user の後に続くアカウント名を示す箇所が"system"と記録されていることが分かります。2行目の"aaaa"という箇所は攻撃者が任意に指定できるため、常にこのように記録されるわけでは無い点に注意してください。
なお、上記の例の"aaaa"というユーザ名は、機器上に存在している必要はありません。そのため、攻撃者はユーザ名を推測する必要なく任意のアカウント名を指定して脆弱性の悪用が可能です。

推奨する対処方法

影響を受ける可能性があるバージョンをご利用の場合には、業務への影響を確認した上で、修正済みのバージョンへのアップデートを推奨いたします。

早急なアップデートが難しい場合は、対象機器に対するTELNETやSSHを用いた管理ログインの制限を行ってください。対象機器自体において管理アクセス可能なIPアドレスを制御することで、被害を防ぐことが可能ですが、ルータなどの上位機器等がある場合には、可能な限り上位のネットワークにてアクセス制御(制限)を行うことを推奨いたします。

参考情報

2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756) (英文)
http://kb.juniper.net/InfoCenter/index?page=content&;id=JSA10713&actp=search

IMPORTANT JUNIPER SECURITY ANNOUNCEMENT(英文)
http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554

Juniper ScreenOS に複数の脆弱性
https://jvn.jp/vu/JVNVU94797797/

以上

当社の注意喚起情報に関するよく寄せられる質問は、こちらをご参照ください。

メール

注意喚起情報は、ラックメールマガジン(臨時号)にて、
いち早く皆様にお知らせしています

配信をご希望の方はこちらからご登録いただけます。


アーカイブ一覧に戻る

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top