Update: Kritische Sicherheitslücken in Juniper ScreenOS (Updates verfügbar)

18. Dezember 2015

Update 21. Dezember 2015, 12:15h

Angesichts der potentiellen Auswirkungen der Lücken und da es sich bei ScreenOS Devices meist um Security Appliances (Firewalls) in privilegierter Position handelt, bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Wie Juniper gestern Abend bekannt gegeben hat, gibt es zwei Sicherheitslücken in Produkten von Juniper, die mit dem Betriebssystem ScreenOS laufen. Patches dazu wurden gleichzeitig mit der Ankündigung veröffentlicht.

Auswirkungen

Es handelt sich um zwei - nicht zusammenhängende - Probleme:
  • Unauthorisierter Zugriff per SSH/Telnet, eine vollständige Kompromittierung des gesamten Systems ist dadurch möglich (CVE-2015-7755)
  • Ein Angreifer, der Netzwerkverkehr mitlesen kann, kann verschlüsselten VPN-Verkehr entschlüsseln (CVE-2015-7756)
Update 21. Dezember 2015, 12:15h

CVSS Score: 9.8 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Details

Unauthorisierte Zugriffe per SSH/Telnet lassen sich in Logs erkennen.

Ein normaler Zugriff löst zwei zusammengehörende Log-Meldungen aus:
2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from ...
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username1' at host ...


Bei einem Zugriff durch einen Angreifer, der das aktuelle Problem ausnützt, unterscheiden sich bei diesen Meldungen die Benutzernamen:
2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from ...
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username2' at host ...


Es besteht jedoch eine hohe Wahrscheinlichkeit, dass bei einem erfolgreichen Angriff lokale Log-Dateien so manipuliert werden würden, dass dort ein solcher Angriff nicht mehr erkennbar wäre. Es empfiehlt sich daher, diese Muster an anderen Punkten (zentrale Log-Server) zu suchen.

Update 21. Dezember 2015, 12:15h

Inzwischen ist das Backdoorpassword bekannt geworden, Details dazu finden sich in einem Blogeintrag der Firma Rapid7. Es ist daher davon auszugehen, dass sehr bald automatisierte Angriffsversuche zu erwarten sind.

Eine Erkennung von Angriffen auf die Verschlüsselung von VPN-Verkehr ist auf betroffenen ScreenOS-Geräten nicht möglich.

Betroffene Systeme

Update 21. Dezember 2015, 12:15h

Juniper hat in seinem Advisory die betroffenen Versionen genauer spezifiziert. Folgende Versionen von ScreenOS sind anfällig für unauthorisierten Zugriff:

  • 6.3.0r17 bis 6.3.0r20

Folgende Versionen von ScreenOS sind anfällig für eine Entschlüsselung des VPN-Verkehrs:

  • 6.2.0r15 bis 6.2.0r18
  • 6.3.0r12 bis 6.3.0r20

Abhilfe

Upgrade auf die vom Hersteller zur Verfügung gestellten entsprechend bereinigten Versionen:
  • 6.2.0r19
  • 6.3.0r21
  • Bestimmte ältere Releases der 6.3.0-Reihe enthalten auch die Fixes: 6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b, 6.3.0r18b, 6.3.0r19b
Update 21. Dezember 2015, 12:15h

Angesichts der potentiellen Auswirkungen der Lücken und da es sich bei ScreenOS Devices meist um Security Appliances (Firewalls) in privilegierter Position handelt, rät CERT.at zu einem schnellstmöglichen Upgrade.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Juniper Security Advisory JSA10713 (englisch)
http://kb.juniper.net/InfoCenter/index/content&id=JSA10713
Post im Juniper Forum (englisch)
http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
Artikel bei The Register (englisch)
http://www.theregister.co.uk/2015/12/17/juniper_screen_os_contains_unauthorised_code/
Blogeintrag bei Rapid7 (englisch)
https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor