美國國防部和聯邦調查局所使用的互聯網安全設備中一直存在一個漏洞,并且過了三年才被發現。這兩個部門很可能在三年間已經成為了別人的攻擊目標。
研究人員稱,瞻博網絡所廣泛使用的虛擬專用網絡(VPN)軟件中有兩個安全漏洞,并且已存在三年之久,漏洞可能已經向國外政府或者犯罪團伙暴露了不少敏感信息。漏洞是在一次內部代碼復查時,從一個未知授權代碼中發現的,在12月17日,已經對外公布了這個結果。其中一個漏洞可以讓黑客通過瞻博的設備破譯信息,包括公司內部使用的安全網絡設備。
安全人員Seth Rosenblatt說:“無論是誰植入了這個漏洞,他都可以獲得進入所有VPN網絡的權限。VPN用戶所認為的受保護的數據可能已經被窺探。”雖然聯邦調查局正在對漏洞進行調查研究,但是他們認為這很可能是國外政府做的。
德國安全研究員Ralf-Philipp Weinmann稱,黑客是利用了密碼加譯程序“Dual_EC”的漏洞,該程序由美國國家安全局(NSA)開發,之后成為了密碼加譯的標準程序。
瞻博網絡公司的高級副總裁兼信息主管Bob Worrall 說:“瞻博在自己的防火墻系統ScreenOS中發現了未授權代碼,一個黑客高手可以通過它獲得NetScreen設備的管理訪問權限,并破解VPN連接。”“一旦我們鑒別出這些漏洞,我們就會馬上進行研究,為最新的ScreenOS防火墻軟件研發并提供安全補丁。目前,我們還沒有收到任何報道稱漏洞已經被利用。然而,我們強烈要求顧客升級他們的系統,應用最高優先級別的補丁。”
總部設在加利福尼亞州森尼維爾的瞻博網絡公司在12月21日發出公告,ScreenOS 6.3.0r17至6.3.0r20都是其防火墻軟件以及VPN設備的一部分。就已知情況看,剩余產品還未受到影響。那些受到影響的設備可能會在日志文件中,顯示出一個提示“系統”的登錄入口,緊接著就是密碼驗證,但一個高水平的黑客能夠清楚其中登記的所有信息。鑒于黑客的復雜性,這些漏洞可以做到多長時間不被發覺,瞻博公司稱“沒有辦法能檢測出漏洞是否被利用”。
瞻博的客戶包括美國政府、美國國防部、司法部、財政部,以及聯邦調查局。
京公網安備 11010502049343號