image

26.000 Juniper Netscreen-apparaten via SSH toegankelijk

maandag 21 december 2015, 10:19 door Redactie, 12 reacties
Laatst bijgewerkt: 21-12-2015, 13:44

Op internet zijn zo'n 26.000 NetScreen-apparaten van netwerkfabrikant Juniper te vinden die via SSH toegankelijk zijn en daardoor risico lopen om te worden aangevallen via de vorige week ontdekte backdoors in ScreenOS. Dat laat HD Moore van beveiligingsbedrijf Rapid7 weten.

ScreenOS is het besturingssysteem van NetScreen-netwerkapparaten. Deze apparaten bieden firewalling, VPN-verbindingen en traffic shaping. In ScreenOS was 'ongeautoriseerde code' toegevoegd. Het ging om twee verschillende backdoors. Een backdoor in de VPN-implementatie waardoor een passieve afluisteraar VPN-verkeer kan ontsleutelen en een tweede backdoor waardoor een aanvaller de authenticatie van SSH en Telnet kan omzeilen en zo beheerderstoegang kan krijgen.

Volgens Moore is de authenticatie-backdoor gezien de timing interessant. Juniper stelt in de advisory dat versie 6.2.0r15 tot en met 6.2.0r18 en 6.3.0r12 tot en met 6.3.0r20 kwetsbaar zijn, maar de authenticatie-backdoor is niet aanwezig in oudere versies van ScreenOS, aldus de onderzoeker. De backdoor kon niet worden vastgesteld in versies 6.2.0r15, 6.2.0r16 en 6.2.0r18. De hele 6.2.0-serie is waarschijnlijk niet kwetsbaar, hoewel de VPN-backdoor in deze versie wel aanwezig was. Ronald Prins van Fox-IT laat via Twitter weten dat het beveiligingsbedrijf het wachtwoord voor de SSH/Telnet-backdoor in 6 uur wist te vinden. Inmiddels heeft Moore het wachtwoord gepubliceerd. Organisaties krijgen dan ook het dringende advies om hun NetScreen-apparaten zo snel als mogelijk te patchen.

Het Nationaal Cyber Security Center (NCSC) van de overheid heeft de kans dat de kwetsbaarheid wordt aangevallen verhoogd van gemiddeld naar hoog. "Er is een blog verschenen waarin staat uitgelegd hoe er misbruik gemaakt kan worden van de kwetsbaarheid. Tevens is ook het wachtwoord gepubliceerd waarmee verbinding gemaakt kan worden met kwetsbare apparaten. Met deze informatie is het vrij triviaal geworden om met verhoogde rechten in te loggen op een kwetsbaar apparaat dat via telnet of ssh bereikbaar is", zo waarschuwt de organisatie.

Reacties (12)
21-12-2015, 11:56 door Anoniem
Wat een nieuwssnelheid zeg, critical risk en dan na 4 dagen pas een nieuwsitem maken...
21-12-2015, 13:33 door Anoniem
"Organisaties krijgen dan ook het dringende advies om hun NetScreen-apparaten."

A. Ritueel te verbranden.
B. Weg te geven.
C. Te patchen.
21-12-2015, 13:48 door Anoniem
Door Anoniem: Wat een nieuwssnelheid zeg, critical risk en dan na 4 dagen pas een nieuwsitem maken...
Je had ook op de frontpage kunnen kijken, kleine moeite, toch?

vrijdag 18 december 2015
09:41 Backdoor in Juniper ScreenOS kon VPN-verkeer ontsleutelen

zondag 20 december 2015
08:06 FBI zou backdoor in Juniper-software onderzoeken
21-12-2015, 14:05 door Anoniem
Door Anoniem:
Door Anoniem: Wat een nieuwssnelheid zeg, critical risk en dan na 4 dagen pas een nieuwsitem maken...
Je had ook op de frontpage kunnen kijken, kleine moeite, toch?

vrijdag 18 december 2015
09:41 Backdoor in Juniper ScreenOS kon VPN-verkeer ontsleutelen

zondag 20 december 2015
08:06 FBI zou backdoor in Juniper-software onderzoeken

Het twitter bericht uit het nieuwsitem is van 18:18 - 18 dec. 2015. Dus wat een nieuwssnelheid voor een critical risk!
21-12-2015, 16:47 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wat een nieuwssnelheid zeg, critical risk en dan na 4 dagen pas een nieuwsitem maken...
Je had ook op de frontpage kunnen kijken, kleine moeite, toch?

vrijdag 18 december 2015
09:41 Backdoor in Juniper ScreenOS kon VPN-verkeer ontsleutelen

zondag 20 december 2015
08:06 FBI zou backdoor in Juniper-software onderzoeken

Het twitter bericht uit het nieuwsitem is van 18:18 - 18 dec. 2015. Dus wat een nieuwssnelheid voor een critical risk!

Wat een gezeur over reactie snelheid. En er zat ook een heel weekend tussen hoor.
De noodpatch is trouwens al uitgebracht op 17 december en vermeld in het security.nl bericht van 18 december.
Daarna gingen externe specialisten zich verdiepen in de impact en achtergronden en ging de FBI zich ermee bemoeien.
Bijv. zoals aangeduid in
https://www.security.nl/posting/455108/Juniper-voorbeeld+toont+gevaar+van+overheidsbackdoors

Pas gisteravond rond een uur of 6 Amerikaanse tijd (toen Nederland op één oor lag op enkele uitzonderingen na)
is het inlogpassword van de SSH backdoor publiekelijk vrijgegeven op Rapid7 en werd het pas echt 100%
critical en kon men beslist geen dag meer verliezen. Iedere jojo kan nu immers een aanval uitvoeren waardoor het nog vele malen kritischer is dan het al was toen het door Juniper naar buiten kwam.
Binnen een dag zien we nu dan ook onmiddellijk extra waarschuwingen van NCSC en op Security.nl.

Je lijkt mijn vroegere manager wel, die ook van die rare irreële verwachtingen had,
en meende dat de oorzaak van elk ding in no time volkomen duidelijk is, en gisteren 100% is opgelost.
This is IT dude. Be realistic. Sommige dingen zijn in 2 minuten al klaar, maar andere dingen zijn complex of zo vaag
dat ze zelfs jaren in beslag kunnen nemen.
21-12-2015, 17:24 door Anoniem
iemand nog interesse in de AIVD Hackathon?
21-12-2015, 18:56 door karma4 - Bijgewerkt: 21-12-2015, 18:58
Junos een Unix achtige shell die open staat. Elders staat er iets als gebaseerd op freebsd.
Dat lijkt er op dat er veel open Open source gebruikt is, Dat is niet het zellfde als een veilige benadering vanuit ontwerp.
http://www.juniper.net/documentation/en_US/junos13.2/topics/reference/command-summary/start-shell.html
http://www.juniper.net/techpubs/en_US/junos15.1/topics/task/installation/junos-os-upgrading-kernel-freebsd10.html
21-12-2015, 20:26 door Anoniem
Door Anoniem: iemand nog interesse in de AIVD Hackathon?

Waarom moeite nemen als ik door familieomstandigheden toch nooit door de screening zou komen?
21-12-2015, 21:56 door Anoniem
Door karma4: Junos een Unix achtige shell die open staat. Elders staat er iets als gebaseerd op freebsd.
Dat lijkt er op dat er veel open Open source gebruikt is, Dat is niet het zellfde als een veilige benadering vanuit ontwerp.
http://www.juniper.net/documentation/en_US/junos13.2/topics/reference/command-summary/start-shell.html
http://www.juniper.net/techpubs/en_US/junos15.1/topics/task/installation/junos-os-upgrading-kernel-freebsd10.html

Zucht.

Junos en ScreenOS zijn verschillende producten. Oorspronkelijk zelfs verschillende bedrijven. (Juniper kocht Netscreen).
21-12-2015, 22:34 door Joep Lunaar - Bijgewerkt: 21-12-2015, 22:35
3+1 gedachten:
1 oeps, au
2 dat nieuwere versies niet altijd aan de veiligheid bijdragen - wakeup call
3 AMIX (en haar neven) gebruiken Juniper - ondenkbaar dat dergelijke gebruikers pas laat zijn ingelicht, ondenkbaar dat die de nodige maatregelen/patches niet hebben toegepast.
4 ben ik niet te naief?

P
22-12-2015, 09:46 door Anoniem
Tsja, dat maakte Snowden toch al in 2013 bekend?
http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html
Letterlijke tekst uit het in december 2013 geplaatste artikel: "In the case of Juniper, the name of this particular digital lock pick is "FEEDTROUGH." This malware burrows into Juniper firewalls and makes it possible to smuggle other NSA programs into mainframe computers. Thanks to FEEDTROUGH, these implants can, by design, even survive "across reboots and software upgrades." In this way, US government spies can secure themselves a permanent presence in computer networks. The catalog states that FEEDTROUGH "has been deployed on many target platforms."

Verrassend dat de feitelijke code nu pas wordt ontdekt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.