Juniper社のScreenOSに脆弱性

ネットワーク技術者として一度は耳にしたことあるJuniper社のファイアウォールや暗号化装置に搭載されているScreenOSに管理者権限奪取とVPN通信解読の脆弱性があったようです。

Juniper社のホームページによると、対象のバージョンは以下のようです。

①管理者権限奪取
対象バージョン：ScreenOS 6.3.0r17～6.3.0r20
ワークアラウンド：管理者アクセスのルートを信頼できるネットワークのみに限定する

②VPN通信解読
対象バージョン：ScreenOS 6.2.0r15～6.2.0r18、6.3.0r12～6.3.0r20
ワークアラウンド：なし

なお、SSG/ISGの後継機として位置付けれられているSRXやJunosは該当せず、該当はScreenOSのみのようです。

本脆弱性は6.3.0r21で改修されており、メーカーサポート対象の6.3.x系については各バージョンの対象脆弱性のみ改修したパッチバージョンも準備されているようです。

6.2.x系は残念ながら、メーカーサポートが終了しているため、6.3.x系にバージョンアップするしかありません。

Juniper社のSSGは、かなりメジャーな製品なので、おそらく日本国内だけでも相当台数が該当するのではないでしょうか。

参考となるJuniper社の案内は以下です。
http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554