ScreenOSにおける認証回避の脆弱性にご注意を！

12月17日(現地日付)に米Juniper社より公開されたScreenOSにおける認証回避の脆弱性(CVE-2015-7755)について注意して頂きたく、改めて概要をお伝えいたします。

はじめまして。
JSOCでシニアセキュリティアナリストをつとめている品川です。
私は技術者としてラックが持つセキュリティ監視センター「JSOC」にて分析業務を中心に従事する傍ら、教育事業であるセキュリティアカデミーではセキュリティオペレーション実践コースの講師担当なども行っています。
さて、今回は12月17日（現地日付）に米Juniper社より公開されたScreenOSにおける認証回避の脆弱性についてお伝えさせていただきます。
既に複数のメディア等でも報じられておりますが、本脆弱性は悪用が非常に容易な脆弱性であり、対象が境界防御の最前線であるファイアウォールであることから、極めて重大な被害を起こしかねないものとして注目を集めています。また、本脆弱性が注目を集めているもう一つの大きな理由は、脆弱性を悪用して容易にファイアウォールに侵入することが可能となる文字列が既に広く公開されてしまったことです。
実際に、この文字列が公開された12月21日、JSOCでもすぐに実機を用いて検証を行い、この文字列の情報が事実であることを確認しました。また、JSOCのお客様に対して注意喚起を行ったところ、複数のお客様から「本脆弱性を悪用して侵入を試みられた可能性がある痕跡を発見した」とのフィードバックを受けており、既に実害を伴う攻撃が拡大していることが懸念されます。

• ※脆弱性公開の2015年12月21日から12月25日12時現在までの間、JSOCの監視対象では攻撃や実被害の検知はありません。

Juniper社のScreenOSを搭載したファイアウォールは、日本国内においても相当な台数が現在稼動していると考えられますので、ご利用中の組織は至急対策を取られることをお勧めいたします。また、今回は対象でないバージョンや他の製品をお使いの場合でも、念のため機器の管理アカウントに関するアクセス制御が適切に行われているか、念のためこの機会に確認されることを併せてお勧めいたします。
以下に、検証結果も併せてご紹介いたします。

• ※あくまでJSOCで簡易検証を行った限定的な内容であり、一部環境の違い等により結果が異なる可能性があります。また、本情報を利用したことによるいかなる不利益に対しても保証することはできかねます点について、何卒ご了承ください。

なお、本脆弱性と同時に同じくScreenOSの脆弱性CVE-2015-7756の情報も公開されております。こちらは影響を受ける対象バージョンが異なりますので、併せてご注意ください。

脆弱性のまとめ

攻撃画面（SSH経由の場合）

1. 機器上に存在しないアカウント「aaaa」、パスワードは認証を回避する文字列を入力します。
   
2. パスワード入力後は、特に何の操作もなくログインできることを確認しました。
   

出力されるSyslogの違い

JSOCの簡易検証の結果、正規ログイン時と攻撃によるログイン時に出力されるSyslogの数や記録内容に違いがありましたのでご参考までにご紹介いたします。いくつかのログイン方法では、攻撃が成功すると使用されたユーザ名に関わらず "system" というアカウント名でログインしているように記録されています。これが特徴と考えられますが、ログの調査を行う場合は、念のため"authentication successful"などの認証成功を示すキーワードでも心当たりの無いIPアドレスからのアクセスが無いか検索されることをお勧めします。
なお、正規ログイン試行時には"netscreen"アカウントを、攻撃試行時には"aaaa"という実機上に存在しないアカウントを使用しました。

その他

JSOCの簡易検証では、もう一つ特徴が見られました。 ScreenOSには、現在ログイン中のユーザがいる場合にWebUI上でその情報を表示する機能がありますが、攻撃が成功してログインしている場合は、これが表示されないことを確認しています。（SSH/TELNET経由の攻撃の場合）

1. SSHで"netscreen"アカウントでログインしている場合、SSHでユーザ"netscreen"がログイン中であることがWebUI上に表示されています。
   
2. 一方、攻撃が成功してSSHでログインしている場合には、何も表示されませんでした。
   

この内容が少しでも皆様のお役に立てば幸いです。