美眾議院要求各政府機關提出Juniper裝置修補報告

知名網路設備製造商Juniper在去年的12月18日修補了ScreenOS平台上的兩個安全漏洞，相關安全漏洞將允許駭客存取裝置管理權限及解密VPN的傳輸流量，上周，美國眾議院的政府改革暨監督委員會（House Oversight & Government Reform Committee）即發函要求美國各聯邦機構提交Juniper裝置的修補報告。

ScreenOS平台主要被應用在高階的網路安全設備上，包括NetScreen系列的防火牆裝置與Juniper安全服務閘道器，客戶涵蓋許多大型企業與政府機關。

該委員會表示，為了了解聯邦機構受到相關漏洞的影響程度，要求各機構在今年2月4日前提供說明文件，內容包括聯邦機構是否採用含有漏洞的平台、使用何種版本的ScreenOS、如何發現漏洞、修補前是否曾採取適當的措施，以及何時完成修補等。

Juniper是在檢查程式碼時發現ScreenOS被植入了未經授權的程式，隨後即有資安專家發現隱藏在ScreenOS中的後門密碼，更多的研究顯示ScreenOS採用了由美國國安局（NSA）參與開發、含有安全漏洞的Dual_EC_DRBG隨機亂數產生器，連帶影響了ScreenOS主要使用的ANSI X9.31隨機亂數產生器。

Juniper在修補ScreenOS漏洞之後，亦宣布將在今年上半年換掉ScreenOS所使用頗具爭議的Dual_EC_DRBG與ANSI X9.31亂數產生器。