受影响版本:
6.2.0r15 到6.2.0r18
6.3.0r12 到 6.3.0r20
HDMOORE对后门的分析:
周六hdmoore分析了netscreen固件,并发表了文章,文章链接地址为https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor
受影响的老版本的ScreenOS可以通过下面地址下载:
https://s3.amazonaws.com/dmk/ns5xt.5.0.0r11.0.zip
https://s3.amazonaws.com/dmk/ns5xt.5.0.0r11.0.zip
载入ssg5ssg20.6.3.0r19.0.bin固件到IDA中,通过在静态分析sub_ED7D94函数,搜索strcmp,可以看到auth_admin_ssh_special和auth_admin_internal,继续在sub_13DBEC 中搜索auth_admin_internal,发现后门字符串为 <<< %s(un='%s') = %u
修复建议:
及时升级netscreen,具体操作可以参考
http://puluka.com/home/techtalknetworking/screenoscriticalsecurityissue2015.html