米Juniper Networksは12月17日、同社のファイアウォール「NetScreen」に搭載されている「ScreenOS」に不正なコードが見つかったと発表し、この脆弱性を修正するための臨時パッチをリリースしたことを明らかにした。

発表によると、ScreenOSの不正なコードはJuniperの社内チェックで見つかった。知識が豊富な攻撃者であれば、この脆弱性を突いてNetScreenの管理者権限を取得し、VPN接続を介したトラフィックの暗号を解除できてしまう恐れがあるという。

現時点でこの脆弱性が悪用されたとの報告は入っていないものの、最優先でパッチを適用してほしいとJuniperは呼び掛けている。

Juniperの脆弱性

対応が必要なのは、ScreenOS 6.2.0r15〜6.2.0r18、および6.3.0r12〜6.3.0r20を搭載しているNetScreen。一方、Junos OSを搭載しているSRXなど他のデバイスへの影響は、現時点では確認されていないという。

不正なコードがどのような経緯で混入したのかについて、Juniperは明らかにしていない。しかしメディア各社は、ドイツ誌Der Spiegelの2013年12月の記事を引用して、米国家安全保障局（NSA）がJuniperのファイアウォールにバックドアを仕込んで監視活動に使っていた可能性に言及している。

一方、CNNは米当局者の話として、外国政府が関与した疑いがあるとみて米連邦捜査局（FBI）が捜査に乗り出したと伝えた。

Copyright © ITmedia, Inc. All Rights Reserved.