[Warning] Kritische Sicherheitslücken in Juniper ScreenOS (Updates verfügbar)

Robert Waldner waldner at cert.at
Fri Dec 18 08:43:03 CET 2015 

18. Dezember 2015

   Angesichts der potentiellen Auswirkungen der Lücken und da es sich
   bei ScreenOS Devices meist um Security Appliances (Firewalls) in
   privilegierter Position handelt, bittet CERT.at um Beachtung der
   folgenden Hinweise.

Beschreibung

   Wie Juniper gestern Abend bekannt gegeben hat, gibt es zwei
   Sicherheitslücken in Produkten von Juniper, die mit dem
   Betriebssystem ScreenOS laufen. Patches dazu wurden gleichzeitig mit
   der Ankündigung veröffentlicht.

Auswirkungen

   Es handelt sich um zwei - nicht zusammenhängende - Probleme:
     * Unauthorisierter Zugriff per SSH/Telnet, eine vollständige
       Kompromittierung des gesamten Systems ist dadurch möglich
     * Ein Angreifer, der Netzwerkverkehr mitlesen kann, kann
       verschlüsselten VPN-Verkehr entschlüsseln

Details

   Unauthorisierte Zugriffe per SSH/Telnet lassen sich in Logs erkennen.

   Ein normaler Zugriff löst zwei zusammengehörende Log-Meldungen aus:

   2015-12-17 09:00:00 system warn 00515 Admin user *username1* has
   logged on via SSH from ...
   2015-12-17 09:00:00 system warn 00528 SSH: Password
   authentication successful for admin user '*username1*' at host ...

   Bei einem Zugriff durch einen Angreifer, der das aktuelle Problem
   ausnützt, unterscheiden sich bei diesen Meldungen die Benutzernamen:

   2015-12-17 09:00:00 system warn 00515 Admin user *system* has logged
   on via SSH from ...
   2015-12-17 09:00:00 system warn 00528 SSH: Password
   authentication successful for admin user '*username2*' at host ...

   Es besteht jedoch eine hohe Wahrscheinlichkeit, dass bei einem
   erfolgreichen Angriff lokale Log-Dateien so manipuliert werden
   würden, dass dort ein solcher Angriff nicht mehr erkennbar wäre. Es
   empfiehlt sich daher, diese Muster an anderen Punkten (zentrale
   Log-Server) zu suchen.

   Eine Erkennung von Angriffen auf die Verschlüsselung von VPN-Verkehr
   ist auf betroffenen ScreenOS-Geräten nicht möglich.

Betroffene Systeme

   Geräte mit ScreenOS 6.2.0r15 bis 6.2.0r18 und 6.3.0r12 bis 6.3.0r20.
   Soweit wir bisher wissen, sind das "NetScreen" Firewalls der
   ISG/NS-ISG, NS und SSG Serien.

Abhilfe

   Upgrade auf die vom Hersteller zur Verfügung gestellten entsprechend
   bereinigten Versionen:
     * 6.2.0r19
     * 6.3.0r21
     * Bestimmte ältere Releases der 6.3.0-Reihe enthalten auch die
       Fixes:
       6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b,
       6.3.0r18b, 6.3.0r19b

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Juniper Security Advisory JSA10713 (englisch)
   http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713
   Post im Juniper Forum (englisch)

http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
   Artikel bei The Register (englisch)

http://www.theregister.co.uk/2015/12/17/juniper_screen_os_contains_unauthorised_code/


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20151218/cf65b207/attachment.sig>

More information about the Warning mailing list