กลุ่มนักวิจัยด้านความปลอดจาก NewSky Security ประกาศแจ้งเตือนหลังจากตรวจพบมัลแวร์ประเภทบ็อตเน็ต "DoubleDoor" ซึ่งมีการใช้ช่องโหว่ CVE-2015-7755 และ CVE-2016-10401 ซึ่งส่งผลให้เกิดการบายพาสไฟร์วอลล์ Juniper Netscreen เพื่อไปโจมตีเราท์เตอร์ ZyXEL ได้ อย่างไรก็ตามยังไม่มีการชี้ชัดถึงความร้ายแรงและพฤติกรรมที่เป็นอันตรายของมัลแวร์ชนิดนี้

สำหรับช่องโหว่ที่มัลแวร์มีการใช้นั้น CVE-2015-7755 เป็นช่องโหว่ชื่อดังซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบด้วยชื่อผู้ใช้งานใดๆ ก็ได้เพียงแค่ใช้รหัสผ่านเป็น <<< %s(un=’%s’) = %u ส่วน CVE-2016-10401 เป็นช่องโหว่ในลักษณะเดียวกันคือผู้โจมตีสามารถเข้าถึงระบบได้ด้วยชื่อผู้ใช้งาน admin และรหัสผ่าน CenturyL1nk ก่อนจะใช้รหัสผ่านลับที่ฝังอยู่ภายใน zyad5001 เพื่อยกระดับสิทธิ์ตัวซึ่งสามาถควบคุมการทำงานของอุปกรณ์ได้ทั้งหมด

Recommendation
แนะนำให้ตรวจสอบรายละเอียดของอุปกรณ์ที่ได้รับผลกระทบจากรหัส CVE ที่ปรากฎและทำการอัปเดตรุ่นของเฟิร์มแวร์โดยด่วน

Affected Platform
Juniper ScreenOS 6.2.0r15 ถึง 6.2.0r18, 6.3.0r12 ถึงก่อน 6.3.0r12b, 6.3.0r13 ถึงก่อน 6.3.0r13b, 6.3.0r14 ถึงก่อน 6.3.0r14b, 6.3.0r15 ถึงก่อน 6.3.0r15b, 6.3.0r16 ถึงก่อน 6.3.0r16b, 6.3.0r17 ถึงก่อน 6.3.0r17b, 6.3.0r18 ถึงก่อน 6.3.0r18b, 6.3.0r19 ถึงก่อน 6.3.0r19b, และ 6.3.0r20 ถึงก่อน 6.3.0r21

ที่มา : bleepingcomputer

Juniper ได้ทำ Internal Code Review และตรวจพบโค้ดแปลกปลอมที่ถูกฝังอยู่ใน Juniper ScreenOS ซึ่งเป็นระบบปฏิบัติการของ Juniper NetScreen Firewall โดยรุ่นที่ตรวจพบคือ ScreenOS 6.2.0r15 ถึง 6.2.0r18 และ 6.3.0r12 ถึง 6.3.0r20 ซึ่งทาง Juniper ก็ได้ทำการออก Critical Patch มาแล้ว พร้อมแจ้งให้ผู้ใช้งานทั้งหมดทำการอุดช่องโหว่โดยด่วน

ช่องโหว่ที่เกิดจากโค้ดแปลกปลอมนี้ เปิดช่องโหว่ร้ายแรงด้วยกัน 2 จุด ได้แก่ เปิดให้ผู้โจมตีทำ SSH หรือ Telnet เข้ามาได้ และสามารถ Monitor VPN Traffic และทำการถอดรหัสข้อมูลเหล่านี้ได้ โดยปัจจุบันนี้ไม่มีวิธีที่ผู้ใช้งานจะทำการตรวจสอบได้ว่าองค์กรของตนเองเคยถูกโจมตีไปแล้วหรือไม่ และช่องโหว่ทั้งสองนี้ปรากฎตัวมาตั้งแต่เดือนกันยายน ปี 2012 แล้ว จึงแนะนำให้รีบ Patch โดยด่วน

ส่วนเทคนิคที่ใช้ในการฝังโค้ดที่ไม่ได้รับอนุญาตนี้มีชื่อว่า FEEDTROUGH ซึ่งสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://www.