Que beleza hein… depois de encontrarem malware em roteadores Cisco, agora encontraram um “software não autorizado” nos firewalls Juniper. A própria Juniper descobriu o problema no ScreenOS, software que equipa firewalls da empresa.
Segundo o comunicado as vulnerabilidades permitem que um atacante tenha acesso administrativo nos firewalls NetScreen (CVE-2015-7755) e seja capaz de descriptografar conexões VPN (CVE-2015-7756).
Até o momento não há nenhuma informação de que estas vulnerabilidades tenham sido utilizadas, mas como a senha para acesso administrativo foi divulgada publicamente…
Para resolver estes problemas os equipamentos afetados devem ser atualizados.
As Vulnerabilidades
O código malicioso que permite o acesso administrativo pode ser encontrado da versão 6.3.0r17 até 6.3.0r20 do ScreenOS, e uma vez que a vulnerabilidade tenha sido explorada é possível ver nos logs uma entrada “system has logged on via SSH…”.
Exemplo de Log normal e comprometido:
Login normal, user username1:
2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from …..
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user ‘username1’ at host …Login comprometido, user username2:
2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from …..
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user ‘username2’ at host …
No entanto o hacker pode apagar o log, o que impediria de saber se o sistema foi comprometido.
A outra vulnerabilidade (descriptografia) pode ser encontrada nos software ScreenOS 6.2.0r15 até 6.2.0r18 e da versão 6.3.0r12 até 6.3.0r20, e não há como saber se ela foi explorada.
Outras informações nos links abaixo:
– Important Announcement about ScreenOS
– Multiple Security issues with ScreenOS
Até a próxima.
