Op internet zijn zo'n 26.000 NetScreen-apparaten van netwerkfabrikant Juniper te vinden die via SSH toegankelijk zijn en daardoor risico lopen om te worden aangevallen via de vorige week ontdekte backdoors in ScreenOS. Dat laat HD Moore van beveiligingsbedrijf Rapid7 weten.
ScreenOS is het besturingssysteem van NetScreen-netwerkapparaten. Deze apparaten bieden firewalling, VPN-verbindingen en traffic shaping. In ScreenOS was 'ongeautoriseerde code' toegevoegd. Het ging om twee verschillende backdoors. Een backdoor in de VPN-implementatie waardoor een passieve afluisteraar VPN-verkeer kan ontsleutelen en een tweede backdoor waardoor een aanvaller de authenticatie van SSH en Telnet kan omzeilen en zo beheerderstoegang kan krijgen.
Volgens Moore is de authenticatie-backdoor gezien de timing interessant. Juniper stelt in de advisory dat versie 6.2.0r15 tot en met 6.2.0r18 en 6.3.0r12 tot en met 6.3.0r20 kwetsbaar zijn, maar de authenticatie-backdoor is niet aanwezig in oudere versies van ScreenOS, aldus de onderzoeker. De backdoor kon niet worden vastgesteld in versies 6.2.0r15, 6.2.0r16 en 6.2.0r18. De hele 6.2.0-serie is waarschijnlijk niet kwetsbaar, hoewel de VPN-backdoor in deze versie wel aanwezig was. Ronald Prins van Fox-IT laat via Twitter weten dat het beveiligingsbedrijf het wachtwoord voor de SSH/Telnet-backdoor in 6 uur wist te vinden. Inmiddels heeft Moore het wachtwoord gepubliceerd. Organisaties krijgen dan ook het dringende advies om hun NetScreen-apparaten zo snel als mogelijk te patchen.
Het Nationaal Cyber Security Center (NCSC) van de overheid heeft de kans dat de kwetsbaarheid wordt aangevallen verhoogd van gemiddeld naar hoog. "Er is een blog verschenen waarin staat uitgelegd hoe er misbruik gemaakt kan worden van de kwetsbaarheid. Tevens is ook het wachtwoord gepubliceerd waarmee verbinding gemaakt kan worden met kwetsbare apparaten. Met deze informatie is het vrij triviaal geworden om met verhoogde rechten in te loggen op een kwetsbaar apparaat dat via telnet of ssh bereikbaar is", zo waarschuwt de organisatie.
Deze posting is gelocked. Reageren is niet meer mogelijk.