[Warning] Kritische Sicherheitslücken in Juniper ScreenOS (Updates verfügbar)
Robert Waldner
waldner at cert.at
Fri Dec 18 08:43:03 CET 2015
18. Dezember 2015
Angesichts der potentiellen Auswirkungen der Lücken und da es sich
bei ScreenOS Devices meist um Security Appliances (Firewalls) in
privilegierter Position handelt, bittet CERT.at um Beachtung der
folgenden Hinweise.
Beschreibung
Wie Juniper gestern Abend bekannt gegeben hat, gibt es zwei
Sicherheitslücken in Produkten von Juniper, die mit dem
Betriebssystem ScreenOS laufen. Patches dazu wurden gleichzeitig mit
der Ankündigung veröffentlicht.
Auswirkungen
Es handelt sich um zwei - nicht zusammenhängende - Probleme:
* Unauthorisierter Zugriff per SSH/Telnet, eine vollständige
Kompromittierung des gesamten Systems ist dadurch möglich
* Ein Angreifer, der Netzwerkverkehr mitlesen kann, kann
verschlüsselten VPN-Verkehr entschlüsseln
Details
Unauthorisierte Zugriffe per SSH/Telnet lassen sich in Logs erkennen.
Ein normaler Zugriff löst zwei zusammengehörende Log-Meldungen aus:
2015-12-17 09:00:00 system warn 00515 Admin user *username1* has
logged on via SSH from ...
2015-12-17 09:00:00 system warn 00528 SSH: Password
authentication successful for admin user '*username1*' at host ...
Bei einem Zugriff durch einen Angreifer, der das aktuelle Problem
ausnützt, unterscheiden sich bei diesen Meldungen die Benutzernamen:
2015-12-17 09:00:00 system warn 00515 Admin user *system* has logged
on via SSH from ...
2015-12-17 09:00:00 system warn 00528 SSH: Password
authentication successful for admin user '*username2*' at host ...
Es besteht jedoch eine hohe Wahrscheinlichkeit, dass bei einem
erfolgreichen Angriff lokale Log-Dateien so manipuliert werden
würden, dass dort ein solcher Angriff nicht mehr erkennbar wäre. Es
empfiehlt sich daher, diese Muster an anderen Punkten (zentrale
Log-Server) zu suchen.
Eine Erkennung von Angriffen auf die Verschlüsselung von VPN-Verkehr
ist auf betroffenen ScreenOS-Geräten nicht möglich.
Betroffene Systeme
Geräte mit ScreenOS 6.2.0r15 bis 6.2.0r18 und 6.3.0r12 bis 6.3.0r20.
Soweit wir bisher wissen, sind das "NetScreen" Firewalls der
ISG/NS-ISG, NS und SSG Serien.
Abhilfe
Upgrade auf die vom Hersteller zur Verfügung gestellten entsprechend
bereinigten Versionen:
* 6.2.0r19
* 6.3.0r21
* Bestimmte ältere Releases der 6.3.0-Reihe enthalten auch die
Fixes:
6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b,
6.3.0r18b, 6.3.0r19b
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Juniper Security Advisory JSA10713 (englisch)
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713
Post im Juniper Forum (englisch)
http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
Artikel bei The Register (englisch)
http://www.theregister.co.uk/2015/12/17/juniper_screen_os_contains_unauthorised_code/
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20151218/cf65b207/attachment.sig>
More information about the Warning
mailing list