Update: Kritische Sicherheitslücken in Juniper ScreenOS (Updates verfügbar)
18. Dezember 2015
Ein normaler Zugriff löst zwei zusammengehörende Log-Meldungen aus:
Bei einem Zugriff durch einen Angreifer, der das aktuelle Problem ausnützt, unterscheiden sich bei diesen Meldungen die Benutzernamen:
Es besteht jedoch eine hohe Wahrscheinlichkeit, dass bei einem erfolgreichen Angriff lokale Log-Dateien so manipuliert werden würden, dass dort ein solcher Angriff nicht mehr erkennbar wäre. Es empfiehlt sich daher, diese Muster an anderen Punkten (zentrale Log-Server) zu suchen.
Informationsquelle(n):
Juniper Security Advisory JSA10713 (englisch)
http://kb.juniper.net/InfoCenter/index/content&id=JSA10713
Post im Juniper Forum (englisch)
http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
Artikel bei The Register (englisch)
http://www.theregister.co.uk/2015/12/17/juniper_screen_os_contains_unauthorised_code/
Blogeintrag bei Rapid7 (englisch)
https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor
Update 21. Dezember 2015, 12:15h
Beschreibung
Wie Juniper gestern Abend bekannt gegeben hat, gibt es zwei Sicherheitslücken in Produkten von Juniper, die mit dem Betriebssystem ScreenOS laufen. Patches dazu wurden gleichzeitig mit der Ankündigung veröffentlicht.Auswirkungen
Es handelt sich um zwei - nicht zusammenhängende - Probleme:- Unauthorisierter Zugriff per SSH/Telnet, eine vollständige Kompromittierung des gesamten Systems ist dadurch möglich (CVE-2015-7755)
- Ein Angreifer, der Netzwerkverkehr mitlesen kann, kann verschlüsselten VPN-Verkehr entschlüsseln (CVE-2015-7756)
Update 21. Dezember 2015, 12:15h
CVSS Score: 9.8 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Details
Unauthorisierte Zugriffe per SSH/Telnet lassen sich in Logs erkennen.Ein normaler Zugriff löst zwei zusammengehörende Log-Meldungen aus:
2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from ... 2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username1' at host ...
Bei einem Zugriff durch einen Angreifer, der das aktuelle Problem ausnützt, unterscheiden sich bei diesen Meldungen die Benutzernamen:
2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from ... 2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username2' at host ...
Es besteht jedoch eine hohe Wahrscheinlichkeit, dass bei einem erfolgreichen Angriff lokale Log-Dateien so manipuliert werden würden, dass dort ein solcher Angriff nicht mehr erkennbar wäre. Es empfiehlt sich daher, diese Muster an anderen Punkten (zentrale Log-Server) zu suchen.
Update 21. Dezember 2015, 12:15h
Eine Erkennung von Angriffen auf die Verschlüsselung von VPN-Verkehr ist auf betroffenen ScreenOS-Geräten nicht möglich.
Inzwischen ist das Backdoorpassword bekannt geworden, Details dazu finden sich in einem Blogeintrag der Firma Rapid7. Es ist daher davon auszugehen, dass sehr bald automatisierte Angriffsversuche zu erwarten sind.
Betroffene Systeme
Update 21. Dezember 2015, 12:15h
Juniper hat in seinem Advisory die betroffenen Versionen genauer spezifiziert. Folgende Versionen von ScreenOS sind anfällig für unauthorisierten Zugriff:
- 6.3.0r17 bis 6.3.0r20
Folgende Versionen von ScreenOS sind anfällig für eine Entschlüsselung des VPN-Verkehrs:
- 6.2.0r15 bis 6.2.0r18
- 6.3.0r12 bis 6.3.0r20
Abhilfe
Upgrade auf die vom Hersteller zur Verfügung gestellten entsprechend bereinigten Versionen:- 6.2.0r19
- 6.3.0r21
- Bestimmte ältere Releases der 6.3.0-Reihe enthalten auch die Fixes: 6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b, 6.3.0r18b, 6.3.0r19b
Update 21. Dezember 2015, 12:15h
Angesichts der potentiellen Auswirkungen der Lücken und da es sich bei ScreenOS Devices meist um Security Appliances (Firewalls) in privilegierter Position handelt, rät CERT.at zu einem schnellstmöglichen Upgrade.
Angesichts der potentiellen Auswirkungen der Lücken und da es sich bei ScreenOS Devices meist um Security Appliances (Firewalls) in privilegierter Position handelt, rät CERT.at zu einem schnellstmöglichen Upgrade.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Juniper Security Advisory JSA10713 (englisch)
http://kb.juniper.net/InfoCenter/index/content&id=JSA10713
Post im Juniper Forum (englisch)
http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
Artikel bei The Register (englisch)
http://www.theregister.co.uk/2015/12/17/juniper_screen_os_contains_unauthorised_code/
Blogeintrag bei Rapid7 (englisch)
https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor