原来瞻博网络的PTX核心路由器出了个特别吓人的问题,黑客要是钻了空子,能直接拿到完全的控制权。所以咱得赶紧动手给这些路由器打补丁。Tuskira公司的CEO Piyush Sharma急得直叹气,他说这种漏洞特危险,因为PTX这类设备通常是放在网络心脏的位置,不像边缘设备那么好防。要是哪个坏蛋搞到了PTX的管理权,影响可就大了去了,这不光是入侵一台机器那么简单,它很容易就能变成流量监控的中枢或者控制中心。有了这种权限,想秘密拦截数据、改改路由方向或者钻到旁边的网络里,简直就是太容易的事。 这个事主要坑了那些用旧版本系统的PTX路由器。如果路由器跑的是早于25.4R1-S1-EVO和25.4R2-EVO版本的Junos OS Evolved操作系统,那就危险了。不过大家放心,普通的Junos OS是没这毛病的。瞻博那边在公告里说,目前还没发现有人故意用这个漏洞来搞破坏。说白了,这是他们自己做产品安全测试或者研究的时候无意中发现的。 PTX这系列可是大块头,是那种模块化的高性能核心路由器。它们是用HPE那边最新一代定制的Express系列ASIC芯片来驱动的,主要是为了应对400G和800G的网络迁移做的优化。这些路由器不光能支持原生的400G和800G内联MACsec功能,深度缓冲能力也很强,过滤规则也很灵活。 HPE在收购瞻博以后肯定要做新品宣传,正好碰上他们准备在下周的世界移动通信大会上推两款新的PTX12000和PTX10002路由器。不过现在这消息出来有点尴尬。 这个漏洞主要是因为操作系统的异常检测框架里出了岔子。里面有些关键资源权限分配错了,让未经认证的攻击者能以root权限运行代码。这东西默认可是开着的。要是有坏人能通过外部端口访问到这个服务,然后把它给操纵了,他们就能完全控制整个设备。 那该咋办呢?管理员最好赶紧把Junos OS Evolved升级到25.4R1-S1-EVO这个版本。要是来不及更新也别急,可以用防火墙或者ACL把网口锁死,只让信得过的网络和主机才能连上设备。这时候千万别让不该进的人进了。还有个办法就是在命令行里输入"request pfe anomalies disable",直接把异常检测这个功能给关了。 Sharma也说了句话很实在:多年来瞻博网络的漏洞都招来了不少黑客的注意力,因为如果能在路由器上站稳脚跟,那对攻击者来说可是绝佳的优势位置。毕竟Junos作为网络操作系统处在身份验证、策略控制和流量处理的十字路口上,一个小漏洞要是被利用了,很容易就把整个有价值的网络都给搞乱了。而且这种核心设备要是出了问题很难立刻修补,黑客有足够的时间去挖掘更多容易下手的地方。 他还建议大家要想防着这些漏洞被利用,得有个能时刻盯着网络异常情况的系统,一旦发现不对劲立马给安全团队报警。 正好这会儿HPE瞻博网络正要在巴塞罗那搞世界移动通信大会,准备推新的PTX12000和PTX10002系列路由器呢。 问:这个PTX的安全漏洞有多严重? 答:这可是个要命的漏洞,能让没认证的人拿到root权限直接接管设备。因为PTX通常摆在核心地带,一旦被拿下就成了监控点和控制点,攻击者可以偷偷拦截数据、改路由方向甚至渗透到旁边的网里去影响比单一设备大得多。 问:哪些设备会中招? 答:受影响的是那些装了早于25.4R1-S1-EVO或25.4R2-EVO版本Junos OS Evolved系统的PTX系列路由器。普通Junos OS没事。PTX就是瞻博那几款高性能核心路由器。 问:咋修? 答:首选办法是把系统升级到25.4R1-S1-EVO版。要是实在来不及就用防火墙或ACL锁死访问权限或者关了异常检测服务。