NetScreen 防火墙
描述:
NetScreen 防火墙相同源IP地址用户无需身份验证
详细:
Netscreen是一款知名的防火墙产品。Netscreen防火墙在设计用户身份的验证机制上存在bug,远程攻击者可此bug未经授权非法访问防火墙内受保护资源。
NetScreen防火墙在进行用户名和口令的身份验证时,如果相同源IP地址的某一个用户已经通过认证,那么任何其他人拥有与验证者同一源IP地址的用户无需验证就可以访问受保护资源。
NetScreen支持小组的反馈是:当前设计的验证机制是仅仅基于源IP地址的,因此多个用户从同一IP访问,Netscreen会验证第一个用户,当验证会话建立后,NetScreen会允许其他同一IP用户通过。这表示同一LAN中的其他用户可以无需认证访问资源。目前没有解决方案。如果在这种拓扑中需要验证,在访问Netscreen前建议对第一个NAT设备进行验证。
攻击方法:
如果相同源IP地址的某一个用户已经通过认证,那么任何其他人拥有与验证者同一源IP地址的用户无需验证就可以访问受保护资源。
解决方案:
目前厂商还没有提供补丁或升级程序,建议用户随时关注厂商站点:
http://www.netscreen.com