Het afgelopen weekend werd het wachtwoord gepubliceerd voor de backdoor in Juniper NetScreen-apparaten en inmiddels zijn de eerste aanvallen waargenomen die hier misbruik van proberen te maken. Vanwege de Juniper-backdoor heeft het Internet Storm Center (ISC) de alarmfase voor internet verhoogd.

In ScreenOS, het besturingssysteem van de Juniper NetScreen-apparaten, zijn jaren geleden twee backdoors toegevoegd, zo maakte Juniper vorige week bekend. De ene backdoor maakt het ontsleutelen van VPN-verkeer mogelijk, de andere backdoor geeft een aanvaller via SSH of Telnet beheerderstoegang tot het apparaat. Het wachtwoord om van deze laatste backdoor gebruik te maken is bekend geworden.

Het Internet Storm Center laat weten dat het op een honeypot, een speciaal opgezette server om te worden aangevallen, de eerste aanvallen heeft ontdekt die van de Juniper-backdoor gebruikmaken. Aangezien de honeypot van het ISC zich alleen als een NetScreen-apparaat presenteert en geen verdere ScreenOS-omgeving emuleert, is onduidelijk wat de volgende stappen of de bedoelingen van de aanvallers zijn. Uit een scan op internet blijkt dat er 26.000 NetScreen-apparaten via SSH toegankelijk zijn en mogelijk risico lopen.

Alarmfase

Vanwege de impact van de backdoor heeft het ISC tevens besloten om de alarmfase voor het internet te verhogen naar code geel. In totaal hanteert het ISC vier kleurcodes, waarbij groen het laagste niveau is, gevolgd door geel, oranje en als hoogste niveau kleurcode rood. Geel houdt in dat er een nieuwe dreiging wordt gevolgd waarvan de impact voor de infrastructuur nog onbekend is of meevalt. De lokale impact kan echter behoorlijk zijn. Gebruikers en beheerders krijgen dan ook het advies beschikbare updates direct te installeren. Kleurcode rood geldt alleen voor situaties waarbij een groot deel van het internet niet meer werkt. Begin dit jaar werd de kleurcode ook al twee keer naar geel verhoogd, toen wegens een beveiligingslek in Adobe Flash Player en een kwetsbaarheid in HTTP.sys.