上周網路設備製造商Juniper Networks緊急修補旗下網通裝置平台ScreenOS的兩個安全漏洞,資安及密碼專家認為,美國國安局(NSA)對Juniper的安全漏洞負有間接責任。
Juniper在ScreenOS平台上發現了未經授權的程式,這些陌生程式允許駭客遠端存取裝置及解密VPN流量,Juniper並未說明陌生程式的來源,媒體報導美國聯邦調查局FBI已介入調查。
此一事件引起密碼專家及資安研究人員的興趣,並認為NSA是相關漏洞的始作俑者,至少應負間接責任。研究人員發現,ScreenOS使用了由NSA所參與開發並推動的Dual_EC_DRBG密碼演算法,這是一個隨機亂數產生器,並在2007年成為標準。
外界除了批評Dual_EC_DRBG執行速度緩慢、產生的隨機亂數有偏差之外,2007年就有研究人員發現它含有後門漏洞,允許駭客預測產生器所輸出的數字,促使美國國家標準技術研究所(NIST)建議使用者改用其他的亂數產生器,仍然沿用Dual_EC_DRBG的ScreenOS雖然宣稱已解決了該漏洞,但安全研究人員還是在ScreenOS上發現了類似的漏洞。
日前已有資安專家找到了ScreenOS後門的密碼,SANS網路風暴中心(Internet Storm Center)則設計一誘捕系統(Honey Pot),蒐集以該密碼登入誘捕系統的流量,並持續看到登入次數向上成長。
資安專家呼籲使用者應儘速更新ScreenOS平台,以避免駭客趁機展開攻擊。