Juniper: Multiple vulnerabilităţi ale ScreenOS (CVE-2015-7755, CVE-2015-7756)

Foto:

Specialiştii din cadrul companiei Juniper au identificat o secvenţă de cod neautorizat în codul sursă al sistemului de operare ScreenOS care poate permite unui  potenţial atacator obţinerea accesului şi controlului asupra dispozitivelor NetScreen, respectiv decriptarea conexiunilor de tip VPN.

Descriere

În urma unei evaluări interne de securitate, Juniper a identificat două breşe de securitate.

Administrative Access (CVE-2015-7755) permite accesul administrativ de la distanţă neautorizat la dispozitivul afectat. Exploatarea acestei vulnerabilităţi poate duce la compromiterea în totalitate a acestuia.

Această vulnerabilitate este valabilă numai pentru versiunile ScreenOS de la 6.3.0r17 la 6.3.0r20. Conform specialiştilor Juniper, niciun alt produs sau versiune a ScreenOS cu excepţia celor menţionate nu sunt afectate de această vulnerabilitate.

În momentul exploatării acestei vulnerabilităţi, fişierul în care sunt stocate log-urile va conţine o intrare în care este înregistrată autentificarea cu drepturi system urmată de încă o intrare pentru credenţialele de autentificare furnizate.

Exemplu

Autentificare normală a utilizatorului username1:

2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from …..

2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user ‘username1’ at host …

Autentificare compromisă a utilizatorului username2:

2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from …..

2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user ‘username2’ at host …

De menţionat că un atacator avansat poate elimina aceste înregistrări, înlăturând astfel orice urmă sau dovadă ca dispozitivul respectiv a fost compromis.

VPN Decryption (CVE-2015-7756) reprezintă cea de a doua vulnerabilitate identificată. Aceasta este independentă faţă de cea detaliată anterior şi poate permite monitorizare şi decriptarea traficului corespunzător tunelului VPN de către un utilizator neautorizat.

Această vulnerabilitate este valabilă numai pentru versiunile ScreenOS de la 6.2.0r15 la6.2.0r18 şi  de la6.3.0r12la6.3.0r20. Conform specialiştilor Juniper, niciun alt produs sau versiune a ScreenOS cu excepţia celor menţionate nu sunt afectate de această vulnerabilitate.

Măsuri de remediere şi prevenire

CERT-RO vă recomandă actualizarea versiunilor sistemelor de operare ScreenOS la versiunile furnizate de producătorul Juniper în vederea remedierii vulnerabilităţilor identificate.

Acestea sunt disponibile la adresa http://www.juniper.net/support/downloads/screenos.html.

De asemenea, pentru minimalizarea riscului de a fi compromişi se recomandă reducerea suprafeţei de atac prin restricţionarea accesului administrativ la echipamente numai din reţele sau host-uri dedicate pentru management.

Referinţe şi link-uri utile

[1] http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&actp=search

[2] https://www.us-cert.gov/ncas/current-activity/2015/12/17/Juniper-Releases-Out-band-Security-Advisory-ScreenOS

[3] http://forums.juniper.net/t5/Security-Incident-Response/bg-p/SIRT