梭子鱼多款网络与安全设备被发现存在后门账户

ZDNET安全频道 01月31日 消息： 最近，梭子鱼网络提供的多种网络以及安全设备中都被发现存在有后门账户。换句话说，攻击者将能够利用安全外壳协议(SSH)以远程方式登录到设备之上，并取得系统管理员或者根权限。

这些后门账户的发现者是奥地利安全公司SEC咨询的专业研究人员。在星期四发布的一份安全公告中，他们对具体情况进行了详细说明。这些账户没有被记录在官方文档中，也无法被删除，并且可以利用SSH远程进行访问。

此外，他们还在设备采用的默认配置中发现包含有接受来自特定公共IP地址段内SSH连接的选项。尽管位于这些IP地址段内的服务器确实有属于梭子鱼网络技术公司拥有的部分，但也存在被其它第三方组织或者个人拥有的情况。

按照SEC咨询研究人员发出的警告，攻击者现在只要控制住该IP白名单地址段内的任何一台服务器，就能够利用这些后门账户来获取连接到互联网上的梭子鱼网络设备的管理权限。

此外，研究人员还以具体账户为例进行了详细说明。一个被称为“产品”的特定后门账户就能够被用来登录到梭子鱼设备上。这就意味着，在不需要任何密码的情况下，攻击者就能够直接连接进MySQL数据库，还可以将拥有系统管理员权限的新账户添加到设备配置之中。此外，他们还发现，在启用了诊断或调试功能的时间，梭子鱼SSL　VPN设备也可以被用来获取根权限，

在星期三的时间，梭子鱼网络公开承认了这一问题的存在，并建议客户立即将设备的安全定义库升级到2.0.5版本之上。

在官方网站的一篇公告声明中，公司表示：“我们的研究已经证实，如果攻击者掌握了梭子鱼设备的特定内部信息，并且位于一小部分IP地址段之中的话，确实有可能利用远程登录的方式连接到一个非特权账户之上。”

按照该公司在声明中的解释，除了梭子鱼备份服务器、梭子鱼防火墙以及梭子鱼下一代防火墙之外的所有设备都可能会受到该问题的影响。这其中就包括有：梭子鱼垃圾邮件与病毒防火墙、梭子鱼网络过滤器、梭子鱼邮件存储网关、梭子鱼网络应用防火墙、梭子鱼链路负载均衡器、梭子鱼负载均衡器、梭子鱼SSL　VPN等产品。

该公司声称，客户只要对安全定义库进行更新就可以“大幅度降低遭遇潜在攻击的可能性”。此外，客户如果希望完全禁止掉远程访问功能的话，公司给出的具体建议则是与技术支持部门进行交流沟通。