|
注意喚起情報
2015年12月28日
ラックが運営するセキュリティ監視センター『JSOC』は、12月17日にJuniper社よりファイアウォール製品で動作するScreenOSにおいて、管理アクセスにおける認証回避の脆弱性(CVE-2015-7755)が公開された件に関して検証を行い、本脆弱性を用いることで一部のバージョンにおいて実際に認証を回避した管理アクセスが可能なことを確認しました。
本脆弱性を悪用することにより、攻撃者によってファイアウォールの設定を変更されるなどの重大な被害が発生する可能性があるため、修正済みのバージョンへアップデートを促すための注意喚起情報を公開しました。
注意喚起情報は、ラックメールマガジン(臨時号)にて、いち早く皆様にお知らせしています
配信をご希望の方はこちらからご登録いただけます。
なお、本注意喚起についての検証結果などを記載した情報がラック公式ブログに掲載されています。
併せてご確認ください。
Juniper社のファイアウォール製品において、ScreenOSの特定バージョンを使用し、TELNETやSSHによる遠隔管理を有効にしている環境において、ユーザ名に依存せず、容易にリモートからログインされてしまう危険性があります。
・製品
Juniper社製ファイアウォール製品のうち対象のScreenOSを利用している機器
・ソフトウェアバージョン
ScreenOS 6.3.0r17 ~ 6.3.0r20
Juniper SSG 5 ScreenOS 6.3.0r17
仮に攻撃者が"aaaa"というユーザ名でSSHによる不正ログインを試み、攻撃が成功した場合、同時刻に以下のようなログが記録されます。
例)
2015-12-21 HH:MM:SS system warn 00515 Admin user system has logged on via SSH from [ログイン元IPアドレス]:ポート
2015-12-21 HH:MM:SS system warn 00528 SSH: Password authentication successful for admin user 'aaaa' at host [ログイン元IPアドレス]
"aaaa"というアカウント名でログインを試みたにも関わらず、1行目の Admin user の後に続くアカウント名を示す箇所が"system"と記録されていることが分かります。2行目の"aaaa"という箇所は攻撃者が任意に指定できるため、常にこのように記録されるわけでは無い点に注意してください。
なお、上記の例の"aaaa"というユーザ名は、機器上に存在している必要はありません。そのため、攻撃者はユーザ名を推測する必要なく任意のアカウント名を指定して脆弱性の悪用が可能です。
影響を受ける可能性があるバージョンをご利用の場合には、業務への影響を確認した上で、修正済みのバージョンへのアップデートを推奨いたします。
早急なアップデートが難しい場合は、対象機器に対するTELNETやSSHを用いた管理ログインの制限を行ってください。対象機器自体において管理アクセス可能なIPアドレスを制御することで、被害を防ぐことが可能ですが、ルータなどの上位機器等がある場合には、可能な限り上位のネットワークにてアクセス制御(制限)を行うことを推奨いたします。
2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756) (英文)
http://kb.juniper.net/InfoCenter/index?page=content&;id=JSA10713&actp=search
IMPORTANT JUNIPER SECURITY ANNOUNCEMENT(英文)
Juniper ScreenOS に複数の脆弱性
https://jvn.jp/vu/JVNVU94797797/
以上
当社の注意喚起情報に関するよく寄せられる質問は、こちらをご参照ください。
注意喚起情報は、ラックメールマガジン(臨時号)にて、いち早く皆様にお知らせしています
配信をご希望の方はこちらからご登録いただけます。
本記載事項の利用については、全て自己責任でお願いいたします。本記載事項の記述を利用した結果生じる、いかなる損失においても株式会社ラックはその責任を負いかねます。本記載事項を引用して利用される際は、必ず出典元を明記してご利用下さい。LAC、ラックは、株式会社ラックの商標です。JSOC(ジェイソック)は株式会社ラックの登録商標です。その他、記載されている製品名、社名は各社の商標または登録商標です。