Grave vulnerabilidad en Firewall Juniper, permitió espiar VPN durante años (parchea!)

La vulnerabilidad en ScreenOS, el sistema operativo utilizado por Juniper Networks en firewall, VPN y otros dispositivos, habría permitido el espionaje por parte de China y Rusia.

La vulnerabilidad hallada en el firewall Juniper ScreenOS fue revelada ayer por la empresa. "Durante una reciente revisión de código interno, Juniper descubrió código no autorizado [puerta trasera] en ScreenOS, lo que podría permitir a un atacante monitorear el tráfico VPN y descifrarlo. Una vez que identificamos estas vulnerabilidades, se inició una investigación y trabajamos para desarrollar y publicar el parches para los dispositivos afectados".

Las versiones específicas de ScreenOS que se ven afectados son ScreenOS 6.2.0r15 en adelante. Esta versión está disponible desde septiembre de 2012, lo que significa que potencialmente una empresa podría haber estado expuesta durante tres años. No hay evidencia de que los dispositivos SRX u otros que ejecutan JunOS sean afectados.

Juniper recomienda actualizar sus sistemas y aplicar las versiones afectadas con la prioridad más alta. Además de actualizar el firmware de inmediato, las organizaciones también deben cambian las contraseñas e investigar sus propias redes por posibles compromisos.

La cuestión backdoor fue identificado como CVE-2015-7755. Además, existe una segunda vulnerabilidad CVE-2015-7756 en Secure Shell (SSH) en ScreenOS que podría permitir a un atacante realizar ataques de denegación de servicio (DoS) contra los dispositivos. El código afectado es:

if (strcmp(login_password, "<<< %s(un='%s') = %u") == 0)

La firma Juniper Networks alertó a sus clientes a que instalaran con la mayor prioridad un parche para solucionar la vulnerabilidad en ScreenOS, a través de la cual se podría producir la filtración de los datos. La explotación de esta vulnerabilidad queda demostrada en los logs del sistema porque el registro contendría una entrada con el ususario 'system'.

La revelación del grave problema de seguridad en el cifrado de las comunicaciones en los dispositivos utilizados por el gobierno y empresas de Estados Unidos fue puesta en conocimiento por parte de la cadena CNN, luego que la empresa solucionara la vulnerabilidad. El FBI comenzó a investigar la naturaleza del ataque en la que estarían involucrados hackers que instalaron una 'puerta trasera' en los equipos, a través de la cual se filtran los datos hacia el exterior. El daño en el sistema fue equiparado por un funcionario del FBI con "el robo de una llave maestra para ingresar a cualquier edificio gubernamental".

Coincidentemente, algunos documentos publicados por Snowden en diciembre de 2013, dicen que dispositivos de Juniper pueden ser infiltrados. Los firewalls de Juniper estaban en una larga lista de elementos afectados por las operaciones de la unidad de NSA, conocida como Tailored Operations Unit (TAO), que dirige las operaciones que le permiten obtener acceso a usuario y redes informáticas de terceros.

Actualización: una búsqueda en Shodan ha identificado aproximadamente 26.200 dispositivos NetScreen con SSH abierto.

Actualización: Rapid7 ha realizado un análisis del backdoor y ha publicado toda la investigación y el código analizado.

Actualización: Steve Puluka ha publicado un post paso a paso para actualizar.

Fuente: EWeek

Suscríbete a nuestro Boletín