zurück zum Artikel

Exploits für SSH-Backdoor in Junipers Netzgeräten

Dennis Schirrmacher
Netzwerk

Für den Zugriff auf Junipers SSH-Backdoor soll man doch keinen gültigen Nutzernamen benötigen. Zudem suchen Angreifer derzeit gezielt nach verwundbaren ScreenOS-Versionen.

Mehr Infos

Zum Thema:

Die Lage um die SSH-Backdoor in Netzgeräten von Juniper spitzt sich weiter zu. Denn offenbar müssen Angreifer keinen gültigen Nutzernamen kennen, um die SSH-Hintertür öffnen zu können.

Die Eingabe des bereits bekannten Master-Passworts reicht aus, erläuterte Lukas Grundwald, Technikchef von Greenbone Networks, gegenüber heise Security. Das habe er während Tests mit der verwundbaren ScreenOS-Version 6.30r19 herausgefunden.

Geräte auf Backdoors prüfen

Wer auf Nummer sicher gehen will, kann seine Geräte mit den Schwachstellen-Scannern Greenbone Security Feed [4] und OpenVAS [5] auf die Hintertüren untersuchen lassen. Das Pentesting-Tool Metasploit [6] soll zeitnah ebenfalls mit entsprechenden Modulen ausgerüstet werden.

Das SANS Internet Storm Center hat inzwischen einen SSH-Honeypot, der das Master-Passwort nutzt, aufgesetzt [7]. Seitdem haben die Sicherheitsforscher mehrere gezielte Versuche dokumentiert, verwundbare ScreenOS-Versionen zu finden. Da der Honeypot aber kein ScreenOS emuliere, können die Sicherheitsforscher nichts über die Absichten der potentiellen Angreifer sagen.

Der Netzausrüster Juniper fand bei einem internen Code-Review seines Betriebssystems ScreenOS Schnüffelcode [8]. Dabei handelt es sich um eine SSH- und eine VPN-Hintertür [9]. Über diese Wege können Dritte Verbindungsdaten offenlegen. Sicherheitsupdates für ScreenOS sind verfügbar. Derzeit untersucht das FBI die Konsequenzen [10], denn viele US-Ministerien nutzen Juniper-Hardware. (des [11])

URL dieses Artikels:
https://www.heise.de/-3054308

Links in diesem Artikel:
[1] https://www.heise.de/news/Schnueffelcode-in-Juniper-Netzgeraeten-Weitere-Erkenntnisse-und-Spekulationen-3051260.html
[2] https://www.heise.de/news/FBI-untersucht-Schnueffelcode-bei-Juniper-3049662.html
[3] https://www.heise.de/news/Netzausruester-Juniper-findet-Schnueffelcode-in-eigenem-Betriebssystem-3046932.html
[4] http://www.greenbone.net/technology/gsf.html
[5] http://www.openvas.org/
[6] http://www.metasploit.com/
[7] https://isc.sans.edu/diary/First+Exploit+Attempts+For+Juniper+Backdoor+Against+Honeypot/20525
[8] https://www.heise.de/news/Netzausruester-Juniper-findet-Schnueffelcode-in-eigenem-Betriebssystem-3046932.html
[9] https://www.heise.de/news/Schnueffelcode-in-Juniper-Netzgeraeten-Weitere-Erkenntnisse-und-Spekulationen-3051260.html
[10] https://www.heise.de/news/FBI-untersucht-Schnueffelcode-bei-Juniper-3049662.html
[11] mailto:des@heise.de

Copyright © 2015 Heise Medien