圖片來源: 

美國白宮

知名網路設備製造商Juniper在去年的12月18日修補了ScreenOS平台上的兩個安全漏洞,相關安全漏洞將允許駭客存取裝置管理權限及解密VPN的傳輸流量,上周,美國眾議院的政府改革暨監督委員會(House Oversight & Government Reform Committee)即發函要求美國各聯邦機構提交Juniper裝置的修補報告。

ScreenOS平台主要被應用在高階的網路安全設備上,包括NetScreen系列的防火牆裝置與Juniper安全服務閘道器,客戶涵蓋許多大型企業與政府機關。

該委員會表示,為了了解聯邦機構受到相關漏洞的影響程度,要求各機構在今年2月4日前提供說明文件,內容包括聯邦機構是否採用含有漏洞的平台、使用何種版本的ScreenOS、如何發現漏洞、修補前是否曾採取適當的措施,以及何時完成修補等。

Juniper是在檢查程式碼時發現ScreenOS被植入了未經授權的程式,隨後即有資安專家發現隱藏在ScreenOS中的後門密碼,更多的研究顯示ScreenOS採用了由美國國安局(NSA)參與開發、含有安全漏洞的Dual_EC_DRBG隨機亂數產生器,連帶影響了ScreenOS主要使用的ANSI X9.31隨機亂數產生器。

Juniper在修補ScreenOS漏洞之後,亦宣布將在今年上半年換掉ScreenOS所使用頗具爭議的Dual_EC_DRBG與ANSI X9.31亂數產生器。


Advertisement

更多 iThome相關內容