脆弱性が発見されたジュニパーの「ScreenOS」にデフォルトのバックドアパスワード

　先週脆弱性が判明したJuniperの「ScreenOS」にデフォルトのパスワードが存在することを、セキュリティ企業Rapid7が明らかにした。

　Rapid7の最高セキュリティ責任者、HD Moore氏はブログで、ScreenOSのパッチが当てられたバージョンと脆弱なバージョンとの違いをstrcmp呼び出しにフォーカスして調べていて、パスワードの存在に気付いたという。パスワードは<<< %s(un='%s') = %uだ。これを知っていれば、有効なユーザー名があればログインが可能になるという。

　Juniperは先週、内部のコードレビューによりScreenOSに2件の脆弱性を発見したことを報告した。1つ目は攻撃者が足跡を残さずにVPNトラフィックを復号することが可能となるもので、2つ目はSSHまたはTelnet経由で遠隔から不正アクセスしてデバイスを完全に乗っ取ることができるというものだ。

　当時Juniperは、バージョン6.2.0r15から6.2.0r18、6.3.0r12から6.3.0r20までのScreenOSが稼働する「NetScreen」デバイスが2件の脆弱性の影響を受けるとしていた。だがその後、パッチが当てられていないバージョンはVPN関連のバグに脆弱だが、リモートアクセスのバグが影響を受けるのはバージョン6.3.0r17から6.3.0r20に限定されるとした。

　Rapid7もバージョン6.3.0r17〜6.3.0r20がバックドアパスワードに脆弱だと述べている。同社は、インターネットに接続した約2万6000台のNetscreenデバイスでSSHがオープンなままになっていると予想している。

　先週から今週にかけて、ScreenOSが利用する擬似乱数生成器（PRNG）が、評判の悪い米国家安全保障局（NSA）のDual_EC_DRBGバックドアと同じような方法で含まれていたことについて、疑問視する声が上がっていた。

　Juniperのサポートページによると、ScreenOSはDual_EC_DRBGを使っているが、「脆弱であるはずがない」方法で使っていると強調している。

　Googleのセキュリティエンジニア、Adam Langley氏は自身のブログで、そもそもなぜDual_EC_DRBGを使ったのかが疑問だとしている。

　そして「バックドアのある乱数生成器（RNG）を利用したが、鍵を変更した。だからこの攻撃は、誰かが侵入して再び鍵を変えたとすれば説明がつくかもしれない」と推測している（同氏は「再び」と「かもしれない」の部分を強調している）。