由Juniper Networks(瞻博網(wǎng)絡(luò)公司)銷售的用于管理防火墻的操作系統(tǒng)中發(fā)現(xiàn)包含未經(jīng)授權(quán)的代碼,這些代碼偷偷解密流量并通過虛擬專用網(wǎng)絡(luò)發(fā)送,該公司的工作人員于周四發(fā)出警告。

目前尚不清楚這些代碼如何出現(xiàn)的,以及存在了多久。由該公司發(fā)表的公告中說,通過使用ScreenOS 6.2.0r15到6.2.0r18還有6.3.0r12到6.3.0r20的NetScreen防火墻都受到影響,需要立即修復(fù)。Juniper公布的官方聲明建議最早的會(huì)受攻擊版本應(yīng)該至少排查到2012年的甚至更早。現(xiàn)在還沒有證據(jù)說明該后門也被放在其它Juniper網(wǎng)絡(luò)公司的操作系統(tǒng)或設(shè)備上。

“在最近的一次內(nèi)部代碼審查中,Juniper 網(wǎng)絡(luò)公司發(fā)現(xiàn)ScreenOS中未經(jīng)授權(quán)的代碼,可以讓資深的攻擊者獲得對(duì)NetScreen設(shè)備的管理權(quán)限和解密VPN連接,” Juniper網(wǎng)絡(luò)公司的首席信息官鮑勃·沃勒爾寫道。 “一旦我們確定了這些漏洞,我們就會(huì)展開了調(diào)查此事,并努力開發(fā)并發(fā)布補(bǔ)丁版本——ScreenOS中的最新版本。”

Juniper 網(wǎng)絡(luò)公司的獨(dú)立顧問提到,有兩個(gè)不同的漏洞還不足以被稱為“未經(jīng)授權(quán)的代碼”。公告中提到:“第一個(gè)漏洞允許在受影響的設(shè)備通過SSH或Telnet進(jìn)行未經(jīng)授權(quán)的遠(yuǎn)程管理訪問。該漏洞可以導(dǎo)致徹底的危害。第二個(gè)漏洞可能允許可以監(jiān)控VPN流量的資深攻擊者及進(jìn)行流量解密。” “第一個(gè)漏洞是獨(dú)立存在的,沒有辦法來檢測該漏洞是否已經(jīng)被利用了。”

誰是兇手?

他們還說VPN-breaking代碼導(dǎo)致了未經(jīng)授權(quán)的代碼,而不是一個(gè)意外的編程缺陷,這引發(fā)了ScreenOS中的蓄意篡改。對(duì)于這樣的篡改,最可能的罪魁禍?zhǔn)资敲绹鴩野踩只蛘咂湓谑澜绺鞯氐脑S多同行之一。由前國家安全局承包商愛德華·斯諾登泄露的機(jī)密文件顯示,美國國家安全局的代理從思科系統(tǒng)公司攔截網(wǎng)絡(luò)設(shè)備,只因?yàn)檫@些被交付給客戶。他們?cè)谛畔l(fā)送到最終目的地之前就在設(shè)備上安裝了隱蔽的植入固件。

由于許多過程都參與其中,安裝未經(jīng)授權(quán)的代碼到正式的操作系統(tǒng)的行為已經(jīng)越來越隱蔽了,近幾年中似乎已成為一個(gè)更復(fù)雜的而且厚顏無恥的工作。由Der Spiegel周刊于2013年發(fā)表的一條報(bào)道中稱,美國國家安全局的對(duì)Juniper 網(wǎng)絡(luò)公司的防火墻操作稱為FEEDTHROUGH工作,這給該機(jī)構(gòu)提供了持續(xù)的后門。

文章報(bào)道稱:“這種惡意軟件挖掘Juniper公司的防火墻,并有可能偷走美國國家安全局的其他計(jì)劃到大型計(jì)算機(jī)上。感謝FEEDTROUGH,這些植入物可以進(jìn)行設(shè)計(jì),甚至還能重啟和軟件升級(jí)。以這種方式,美國政府的間諜能夠留存自身在計(jì)算機(jī)網(wǎng)絡(luò)中一個(gè)長期存在的目錄得到FEEDTROUGH在許多目標(biāo)平臺(tái)的部署。”

當(dāng)然,它也可以在后門安裝一些其他的方式。 Juniper網(wǎng)絡(luò)公司的顧問并沒有提及懷疑誰動(dòng)了手腳以及采取了什么步驟找出的后門。 Ars已向Juniper要求更多細(xì)節(jié),請(qǐng)持續(xù)關(guān)注。