Juniper網(wǎng)絡(luò)安全的漏洞可能暴露了美國政府的數(shù)據(jù)

責(zé)任編輯:editor007

2015-12-25 17:00:51

摘自:bobao.#

美國國防部和聯(lián)邦調(diào)查局所使用的互聯(lián)網(wǎng)安全設(shè)備中一直存在一個(gè)漏洞,并且過了三年才被發(fā)現(xiàn)。德國安全研究員Ralf-Philipp Weinmann稱,黑客是利用了密碼加譯程序“Dual_EC”的漏洞,該程序由美國國家安全局(NSA)開發(fā),之后成為了密碼加譯的標(biāo)準(zhǔn)程序。

美國國防部和聯(lián)邦調(diào)查局所使用的互聯(lián)網(wǎng)安全設(shè)備中一直存在一個(gè)漏洞,并且過了三年才被發(fā)現(xiàn)。這兩個(gè)部門很可能在三年間已經(jīng)成為了別人的攻擊目標(biāo)。

研究人員稱,瞻博網(wǎng)絡(luò)所廣泛使用的虛擬專用網(wǎng)絡(luò)(VPN)軟件中有兩個(gè)安全漏洞,并且已存在三年之久,漏洞可能已經(jīng)向國外政府或者犯罪團(tuán)伙暴露了不少敏感信息。漏洞是在一次內(nèi)部代碼復(fù)查時(shí),從一個(gè)未知授權(quán)代碼中發(fā)現(xiàn)的,在12月17日,已經(jīng)對外公布了這個(gè)結(jié)果。其中一個(gè)漏洞可以讓黑客通過瞻博的設(shè)備破譯信息,包括公司內(nèi)部使用的安全網(wǎng)絡(luò)設(shè)備。

安全人員Seth Rosenblatt說:“無論是誰植入了這個(gè)漏洞,他都可以獲得進(jìn)入所有VPN網(wǎng)絡(luò)的權(quán)限。VPN用戶所認(rèn)為的受保護(hù)的數(shù)據(jù)可能已經(jīng)被窺探。”雖然聯(lián)邦調(diào)查局正在對漏洞進(jìn)行調(diào)查研究,但是他們認(rèn)為這很可能是國外政府做的。

德國安全研究員Ralf-Philipp Weinmann稱,黑客是利用了密碼加譯程序“Dual_EC”的漏洞,該程序由美國國家安全局(NSA)開發(fā),之后成為了密碼加譯的標(biāo)準(zhǔn)程序。

瞻博網(wǎng)絡(luò)公司的高級(jí)副總裁兼信息主管Bob Worrall 說:“瞻博在自己的防火墻系統(tǒng)ScreenOS中發(fā)現(xiàn)了未授權(quán)代碼,一個(gè)黑客高手可以通過它獲得NetScreen設(shè)備的管理訪問權(quán)限,并破解VPN連接。”“一旦我們鑒別出這些漏洞,我們就會(huì)馬上進(jìn)行研究,為最新的ScreenOS防火墻軟件研發(fā)并提供安全補(bǔ)丁。目前,我們還沒有收到任何報(bào)道稱漏洞已經(jīng)被利用。然而,我們強(qiáng)烈要求顧客升級(jí)他們的系統(tǒng),應(yīng)用最高優(yōu)先級(jí)別的補(bǔ)丁。”

總部設(shè)在加利福尼亞州森尼維爾的瞻博網(wǎng)絡(luò)公司在12月21日發(fā)出公告,ScreenOS 6.3.0r17至6.3.0r20都是其防火墻軟件以及VPN設(shè)備的一部分。就已知情況看,剩余產(chǎn)品還未受到影響。那些受到影響的設(shè)備可能會(huì)在日志文件中,顯示出一個(gè)提示“系統(tǒng)”的登錄入口,緊接著就是密碼驗(yàn)證,但一個(gè)高水平的黑客能夠清楚其中登記的所有信息。鑒于黑客的復(fù)雜性,這些漏洞可以做到多長時(shí)間不被發(fā)覺,瞻博公司稱“沒有辦法能檢測出漏洞是否被利用”。

瞻博的客戶包括美國政府、美國國防部、司法部、財(cái)政部,以及聯(lián)邦調(diào)查局。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)