CVE-2015-7755

Juniper ScreenOS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-10-02

Официальное описание

Juniper ScreenOS contains an improper authentication vulnerability that could allow unauthorized remote administrative access to the device.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2015-7755 — это критическая уязвимость (несанкционированный бэкдор) в операционной системе Juniper ScreenOS. В исходный код системы был внедрен несанкционированный жестко закодированный пароль. * Если злоумышленник знает имя любого существующего пользователя на устройстве (например, стандартного администратора), он может использовать этот универсальный пароль для успешной аутентификации. * Уязвимость позволяет получить полный административный доступ к межсетевому экрану через протоколы SSH или Telnet. * Проблема затрагивает версии ScreenOS с 6.2.0r15 по 6.2.0r18 и с 6.3.0r12 по 6.3.0r20.

Как исправить

Единственный гарантированный способ устранения данной уязвимости — обновление прошивки ScreenOS до версий, из которых удален вредоносный код. * Сделайте резервную копию текущей конфигурации устройства. * Скачайте официальный патч с портала поддержки Juniper Networks. * Обновите устройства до одной из следующих (или более новых) версий: * ScreenOS 6.2.0r19 * ScreenOS 6.3.0r21 * ScreenOS 6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b, 6.3.0r18b, 6.3.0r19b * После обновления проверьте логи на предмет подозрительных входов в систему, которые могли произойти до установки патча.

Временные меры

Если немедленное обновление прошивки невозможно, необходимо жестко ограничить сетевой доступ к интерфейсам управления устройством. * Ограничьте доступ к управлению, разрешив подключения только с доверенных IP-адресов администраторов (используя функцию manager-ip):

set admin manager-ip 192.168.100.0 255.255.255.0
  • Полностью отключите управление по SSH на внешних и недоверенных интерфейсах (замените ethernet0/0 на ваш внешний интерфейс):
unset interface ethernet0/0 manage ssh
  • Полностью отключите управление по Telnet на всех интерфейсах (Telnet передает данные в открытом виде и не должен использоваться):
unset interface ethernet0/0 manage telnet
  • Настройте пересылку системных журналов (Syslog) на защищенный SIEM-сервер.
  • Создайте правила мониторинга для отслеживания любых успешных попыток входа в систему с неизвестных IP-адресов.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей