在去年12月緊急修補遠端存取漏洞的網路設備製造商Juniper Networks,在上周五(1/5)宣布預計於今年上半年置換ScreenOS平台上受到質疑的Dual_EC與ANSI X9.31隨機亂數產生器。

傳出漏洞的ScreenOS被應用在NetScreen系列防火牆裝置與Juniper安全服務閘道(SSG)等高階安全網路設備上,Juniper在檢查程式碼時發現ScreenOS被植入了未經授權的程式碼,將允許駭客取得NetScreen裝置的管理權限及解密VPN的傳輸流量,使得Juniper展開緊急修補。

隨後有安全專家指出,ScreenOS因採用了由NSA所參與開發並推動的Dual_EC_DRBG隨機亂數產生器,但該產生器含有漏洞,允許駭客預測產生所輸出的數字,因而形成安全缺口。

根據ScreenOS的文件說明,ScreenOS雖然採用了Dual_EC_DRBG標準,但該平台主要使用的隨機亂數產生器並非為Dual_EC_DRBG,而是ANSI X9.31。然而,研究人員發現,Dual_EC_DRBG的漏洞仍可讓駭客繞過ANSI X9.31的保護機制。

總之,除了修補漏洞之外,Juniper決定一舉置換ScreenOS 6.3所使用的兩個隨機亂數產生器,預計在今年上半年換成另一平台Junos OS所使用的隨機亂數產生機制。

Juniper表示,他們在發現漏洞之後,即針對ScreenOS及Junos OS展開嚴密的調查,還邀請第三方的安全機構協助調查,確認ScreenOS上已無其他未經授權的程式碼,Junos OS則未被嵌入陌生程式碼,而且要在Junos OS上植入陌生程式碼要難上許多。


Advertisement

更多 iThome相關內容