株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2015年12月28日 | 注意喚起

Juniper社ScreenOSの脆弱性に関する注意喚起

ラックが運営するセキュリティ監視センター『JSOC』は、12月17日にJuniper社よりファイアウォール製品で動作するScreenOSにおいて、管理アクセスにおける認証回避の脆弱性(CVE-2015-7755)が公開された件に関して検証を行い、本脆弱性を用いることで一部のバージョンにおいて実際に認証を回避した管理アクセスが可能なことを確認しました。
本脆弱性を悪用することにより、攻撃者によってファイアウォールの設定を変更されるなどの重大な被害が発生する可能性があるため、修正済みのバージョンへアップデートを促すための注意喚起情報を公開しました。

注意喚起情報は、ラックメールマガジン(臨時号)にて、
いち早く皆様にお知らせしています

配信をご希望の方はこちらからご登録いただけます。

なお、本注意喚起についての検証結果などを記載した情報がラック公式ブログに掲載されています。
併せてご確認ください。

概要

Juniper社のファイアウォール製品において、ScreenOSの特定バージョンを使用し、TELNETやSSHによる遠隔管理を有効にしている環境において、ユーザ名に依存せず、容易にリモートからログインされてしまう危険性があります。

影響を受ける可能性がある環境

・製品
Juniper社製ファイアウォール製品のうち対象のScreenOSを利用している機器

・ソフトウェアバージョン
ScreenOS 6.3.0r17~6.3.0r20

JSOCが検証した環境

Juniper SSG 5 ScreenOS 6.3.0r17

不正ログインの確認方法

仮に攻撃者が"aaaa"というユーザ名でSSHによる不正ログインを試み、攻撃が成功した場合、同時刻に以下のようなログが記録されます。

例)
2015-12-21 HH:MM:SS system warn00515 Admin user system has logged on via SSH from [ログイン元IPアドレス]:ポート
2015-12-21 HH:MM:SS system warn00528 SSH: Password authentication successful for admin user 'aaaa' at host [ログイン元IPアドレス]

"aaaa"というアカウント名でログインを試みたにも関わらず、1行目の Admin user の後に続くアカウント名を示す箇所が"system"と記録されていることが分かります。2行目の"aaaa"という箇所は攻撃者が任意に指定できるため、常にこのように記録されるわけでは無い点に注意してください。
なお、上記の例の"aaaa"というユーザ名は、機器上に存在している必要はありません。そのため、攻撃者はユーザ名を推測する必要なく任意のアカウント名を指定して脆弱性の悪用が可能です。

推奨する対処方法

影響を受ける可能性があるバージョンをご利用の場合には、業務への影響を確認した上で、修正済みのバージョンへのアップデートを推奨いたします。

早急なアップデートが難しい場合は、対象機器に対するTELNETやSSHを用いた管理ログインの制限を行ってください。対象機器自体において管理アクセス可能なIPアドレスを制御することで、被害を防ぐことが可能ですが、ルータなどの上位機器等がある場合には、可能な限り上位のネットワークにてアクセス制御(制限)を行うことを推奨いたします。

参考情報

2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756) (英文)
http://kb.juniper.net/InfoCenter/index?page=content&;id=JSA10713&actp=search

IMPORTANT JUNIPER SECURITY ANNOUNCEMENT(英文)
http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554

Juniper ScreenOS に複数の脆弱性
https://jvn.jp/vu/JVNVU94797797/

以上

当社の注意喚起情報に関するよく寄せられる質問は、こちらをご参照ください。

注意喚起情報は、ラックメールマガジン(臨時号)にて、
いち早く皆様にお知らせしています

配信をご希望の方はこちらからご登録いただけます。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top