Juniper ScreenOS sérülékenysége

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

ScreenOS 6.2.0r15 - 6.2.0r18 és 6.3.0r12 - 6.3.0r20.

Összefoglaló

A ScreenOS két sérülékenysége vált ismertté. 

Leírás

Az első hiba kihasználásával rosszindulatú távoli felhasználók SSH-n vagy telneten keresztül jogosulatlan adminisztrátori szintű hozzáférést szerezhetnek. A támadás detektálását megkönnyíti, hogy a log fájlokban a “system had logged on followed by password authentication for a username” üzenet látható mint az alábbi példákban:

Példa:

Normal login by user username1:
2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from …..
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user ‘username1’ at host …

Compromised login by user username2:
2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from …..
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user ‘username2’ at host …

A második hiba kihasználásával egy olyan felhasználó aki monitorozza a VPN forgalmat, képes lehet visszafejteni azt.

A hiba deteklálására nincs lehetőség.

UPDATE 2015.12.24:

A The SANS Internet Storm Center által felállított honeypot aktív kihasználásokat (exploit) detektált. Javasolt a sérülékeny verziót futtató rendszerek mielőbbi frissítése!

A sérülékenységben való érintettség megállapításához az alábbi eszközök nyújthatnak segítséget:

• http://www.greenbone.net/technology/gsf.html
• http://www.openvas.org/
• http://www.metasploit.com/

Megoldás

Megoldás

Frissíttett verziók:
6.3.0r12b
6.3.0r13b
6.3.0r14b
6.3.0r15b
6.3.0r16b
6.3.0r17b
6.3.0r18b
6.3.0r19b

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: kb.juniper.net
Egyéb referencia: m.heise.de
Egyéb referencia: translate.googleusercontent.com
CVE-2015-7755 - NVD CVE-2015-7755
CVE-2015-7756 - NVD CVE-2015-7756