Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 54 reacties
Submitter: arjants

Onderzoeker HD Moore van het beveiligingsbedrijf Rapid7 heeft het wachtwoord gevonden waarmee de door Juniper ontdekte backdoor in zijn ScreenOS gebruikt kan worden. Het bedrijf ontdekte onlangs 'ongeautoriseerde code' in de software die wordt gebruikt op NetScreen-netwerkapparatuur.

Zijn publicatie volgt op de berichten op dat er tijdens een interne code review 'ongeautoriseerde code' in de ScreenOS-software van Juniper is gevonden. In een blogpost legt hij uit hoe hij te werk is gegaan. Door een gepatchte versie van de ScreenOS-software met een kwetsbare versie te vergelijken kwam hij een string tegen met de volgende tekens: <<< %s(un='%s') = %u.

Volgens de onderzoeker zou het hierbij gaan om het wachtwoord waarmee ingelogd zou kunnen worden op kwetsbare NetScreen-apparaten. De aanvaller hoefde volgens hem alleen maar een geldige gebruikersnaam te kennen om zo telnet- en ssh-authenticatie te ontwijken. Het wachtwoord is niet versleuteld en zou volgens HD Moore vermomd zijn als een debug format string, zodat het niet zou opvallen.

Een andere bevinding van de onderzoeker is dat, in tegenstelling tot berichten van Juniper zelf, de gehele 6.2.0-serie niet getroffen zou zijn door dit lek. De mogelijkheid om vpn-verbindingen te onderscheppen en ontsleutelen zou echter wel aanwezig zijn. Dit was de tweede kwetsbaarheid die vorige week werd vastgesteld. Hij trekt vervolgens de conclusie dat de eerste versie van de getroffen software in 2012 is uitgebracht, maar dat de in zijn blogpost beschreven backdoor pas eind 2013 is toegevoegd.

CNN bericht dat de FBI een onderzoek naar het voorval bij Juniper is gestart. Volgens een woordvoerder zou de hack mogelijk door een buitenlandse overheid uitgevoerd kunnen zijn. Het zou in ieder geval niet het werk zijn van de Amerikaanse overheid zelf, claimen Amerikaanse overheidsfunctionarissen.

juniper ssh

Moderatie-faq Wijzig weergave

Reacties (54)

Ik heb het nu net getest op een Juniper SSG 5 op zowel ScreenOS 6.2 en 6.3 maar het lukt me niet om in te loggen met het wachtwoord. Wel is het zo dat op beiden devices het default account renamed is.

Iemand anders wel gelukt?

Edit: Net getest, via telnet/ssh kom ik er wel in met gelekte wachtwoord.
WebUI is dus net kwetsbaar, telnet en ssh helaas wel. Ook maakt het renamen van het default account niets uit. Je kan nog steeds inloggen met het default account "netscreen".

[Reactie gewijzigd door ZeromaNoiS op 21 december 2015 13:18]

Op 6.3.0r15 lukt het me niet...

Edit, klopt:
Administrative access (CVE-2015-7755) only affects devices running ScreenOS 6.3.0r17 through 6.3.0r20.

[Reactie gewijzigd door xmenno op 21 december 2015 12:48]

Snel checken of je Juniper vulnerable is?
http://cve-check.eu


Het enige dat de pagina doet is verbinding maken met de Juniper (via extern adres!) en proberen in te loggen met de backdoor en daarna disconnecten.

(Ssl is in de planning, maar startssl ligt plat momenteel.)
gelukkig geheel niet kwetsbaar als men radius authenticatie gebruikt.

net ook verschillende ssg20's ssg140 en ssg520 getest met ssh, maar kom er niet door heen ( Gelukkig maar)

telnet lukt wel.. maar nogmaals, wanneer radius word gebruikt niet
Hmm, alleen deze string? Ik denk dat er toch iets meer regels aan te pas moeten komen om een backdoor te maken, waarom valt dat niet op dan?
Deze string is het wachtwoord. Waarom het niet opvalt? Omdat de code waarschijnlijk op vele plaatsen verstopt zit op een manier dat deze amper tot niet opgemerkt word. Dat men deze nu gevonden heeft is al een klein wonder maar toont wel het belang aan van regelmatig een audit te doen op de juiste niveaus.
In het artikel wekt men de suggestie dat de string het enige aantoonbare vershcil was. Dat zou in jouw uitleg inhouden dat de backdoor er dus nog in zit maar nu zonder wachtwoord.
Lees zijn uitleg nog een keer zou ik zeggen.
Lees het artikel eens zou ik zeggen ;)
Een backdoor kan 1 regel zijn, b.v. in een functie die een password controleert waar je alleen 'true' hoeft te returnen doe je gewoon iets als (pseudocode) if password = 'geheim' return true;. Deze specifieke regel valt niet op omdat deze lijkt op een stukje string formattering in C++ waardoor je er makkelijk overheen leest en denkt dat het code is ipv een string literal.

[Reactie gewijzigd door Aaargh! op 21 december 2015 11:06]

Een hele fraaie is zelfs beroemd gewordne. Backdoors zijn meestal vrijwel onzichtbaat. Ook bij een audit.
Een oudje uit 2003, inmiddels zijn we wat verder: http://www.securityfocus.com/news/7388
Op de juiste plek, heb je ooit bij een hack of backdoor niet veel ruimte nodig in memory.
En als dit alleen string checkt van Username heb ook niet meer nodig. Misschien dat ergens anders meer malicieus code zit.
Dit is niet de source code, uit dit verhaal kun je dan ook niet de backdoor zelf lezen, alleen het wachtwoord.
Interessant weetje: Belgacom gebruikte/gebruikt ook Juniper VPN's en andere netwerkapparatuur in hun netwerken. (bron, bron2)

[Reactie gewijzigd door lampstoelkast op 21 december 2015 10:31]

Niet zo interessant, want veel grote spelers gebruiken dit spul. IBM, Intel, Openstack, Redhat, EMC2, VMware, RSA, Sophos, Canonical.

Het is een ernstig lek, hoe voorkom je dit soort infiltratie ?
Zo snel mogelijk je firmware upgraden op dit moment.
Zo is dat backdoors moet je regelmatig verversen ;)


Even samenzweringsmode aan [SZM] Stap 1: Melding dat er een backdoor gevonden is. Stap 2: wereldwijd vervangen firmwares met gloednieuwe NSA backdoor ( zodat alle routers weer toegangkelijk zijn. stap 3: ongeremd data verzamelen door NSA. [/SZM]

[Reactie gewijzigd door SED op 21 december 2015 11:25]

Alle routers wereldwijd waren al, naar nu bleek, toegankelijk voor meerdere concurrerende inlichtingendiensten. :)

Daar heb je geen samenzweringsmode voor nodig.

[Reactie gewijzigd door SidewalkSuper op 21 december 2015 12:56]

De modellen die nog veilige firmware hadden worden nu ook voorzien van een ""conplete firmware"" ;)
wij van wc-eend:

nieuws: Politici VS: Chinese hardware is beveiligingsrisico

pot verwijt de ketel, en snel naar de tegenpartij verwijzen. @SED, of de chinezen zijn idd slimmer, ze zetten geen backdoor in eigen hardware, maar in die van de tegenpartij }>

Daarnaast kunnen we ook weer lekker gissen naar een diepere betekenis van het WW :9

http://www.whatstandfor.com/d/meaning-definition-of/asunsu

Anyone? ;)

edit; SED

[Reactie gewijzigd door ronski op 21 december 2015 16:32]

Ik weet niet goed wat je met je link wilt zeggen?
Ik weet wel dat de firmwares van Huawei bijv open source zijn.
Ik weet ook dat chinese apparatuur door NSA werd opengeschroefd om spychips te implanteren. Er is in chinese zooi nog nooit een backdoor bewezen. Misschien zijn ze slimmer dan de NSA dat kan natuurlijk ook ;)
Ja snap ik ;)
Ik bedoel meer hoe komt het in de code.
Ziggo ook. Heb er een tijdje eentje van ze op de zaak gehad. Gelukkig is hij een half jaar geleden vervangen nadat we ons internet snelheden geupgrade hadden.
Ziggo heeft nooit ScreenOS apparaten gebruikt. Alleen voorganger Multikabel heeft ze in gebruik gehad. Bij mijn weten zijn deze allemaal al lang weg.
Ziggo Zakelijk heeft Juniper bakjes gebruikt. Dwz. ik zie die dingen regelmatig :) geen idee of het om dezelfde soort apparaten gaat eigenlijk.
Zoals in de comment boven je staat gaat het alleen om apparaten die ScreenOS gebruiken, dus nee dat zijn niet dezelfde soort apparaten.
En zo krijg je dan visite van de inlichtingendiensten, want die wisten wel van het lek.

Men heeft het over ongeautoriseerde code, dus het zou wel eens een door de inlichtingendiensten geplaatste hack kunnen zijn die ze vervolgens zelf konden gebruiken. Dat is dus niet opgevallen tot Belgacom gehackt werd en dan nog heeft men maanden nodig om het daarwerkelijke lek boven water te krijgen.
Belgacom infectie zat op de routers, niet op de firewalls
Oke, dank je. Zover had ik me er niet in verdiept. Ze hadden bezoek, zoveel was duidelijk.
Routers draaien op JUNOS, niet ScreenOS. Dit gaat over de oude Netscreen firewalls die Juniper jaren geleden heeft opgekocht.

Wat veel interessanter is: SWIFT, dat zowat een monopolie heeft op internationaal bankieren, heeft enorm veel Netscreens die zowel in de core van hun netwerk staan als bij de banken zelf. Daar hebben veel mensen waarschijnlijk al een paar nachten slecht geslapen.
Misschien ligt het aan mij, maar het lijkt me vrij schadelijk om een password van een backdoor in veel gebruikte software openbaar te maken. Ik snap dat het goed is voor de zaken van dit (en andere) beveiligingsbedrijven, maar het maakt het ook wel gemakkelijker voor kwaadwillenden om deze systemen in te komen.
Veel systeembeheerders zullen nieuwsberichten lezen waarbij verteld wordt dat het wachtwoord op straat ligt. Met die kennis zullen ze ongetwijfeld meer haast maken met updaten.
Het niet bekendmaken is security through obscurity, zeker bij zo een simpele methode om er achter te komen als deze onderzoeker laat zien. Met heel weinig technische kennis, kan je al code vergelijken en dus achter het wachtwoord komen.
Als ze het binnen dit tijdsbestek kunnen vinden dan kunnen andere het ook en dan maakt het publiceren van het wachtwoord niet meer uit. Je kan alleen makkelijker verifiëren of je nog vatbaar bent.
Dat is het fijne van de hele Snowden affaire; zelfs al hebben de yanks het niet gedaan, dan nog geloofd niemand ze meer. In het verleden werd er heel eenvoudig naar de Chinezen gewezen en dan dacht iedereen dat zij het wel zouden zijn. Nu sinds Snowden en Stuxnet geloofd echt niemand meer dat zij niet betrokken zijn. Daarmee word hun rol om de burger te beschermen bemoeilijkt. 8)7
Daarmee word hun rol om de burger te beschermen bemoeilijkt. 8)7
Ik zou eerder zeggen: hun rol om burgers te vervolgen.
Ja joh, want het zou toch zoveel veiliger zijn als er geen FBI oid zou zijn... 8)7
ja joh. ik ben zo oud dat ik nog herinner hoe Hoover FBI misbruikte om allerlei politici e.a.
... nd to have used the FBI to harass political dissenters and activists, to amass secret files on political leaders, and to collect evidence using illegal methods. Hoover consequently amassed a great deal of power and was in a position to intimidate and threaten sitting presidents.....
Ik zou eerder zeggen: hun rol om burgers te vervolgen.
..om burgers te (ver)volgen.
Om je te kunnen beschermen is het noodzakelijk dat ik je hinderlijk volg. Op je hielen zit en meekijk bij alles wat je uitspookt en een gevaar voor jou en je omgeving zou kunnen zijn.
Derhalve lees ik mee met wat je schrijft en doet. Allemaal in jouw belang.
Ik zou eerder zeggen: hun rol om burgers te vervolgen.
In hun grondwet hebben ze een boel lovenswaardige idealen staan over hoe ze claimen dat hun rechtssysteem werkt. Helaas blijkt in de praktijk dat overheidsdiensten de grondwet compleet aan hun laars mogen lappen (NSA: spionage van Amerikaanse burgers, CIA: martelen, leger: mensen onbeperkt vasthouden zonder aanklacht, etc etc) en daar dan ook nog eens mee wegkomen (en zelfs nadat het uitgekomen is, botweg mee doorgaan...).
Gelukkig was niet iedereen vóór tijdperk Snowden zo naïef om te denken dat de VS een heilig boontje was.
Netwerkapparatuur uit Amerika, je verwacht niet dat daar een backdoor in zit. Alleen veel andere keuzes heb je niet aangezien Europa niet investeert in sterke technologie bedrijven in de Unie. We gebruiken hier liever niet te controleren onbetrouwbaar spul uit Amerika of China.
Ik noem even een voorbeeld van een firewall vendor uit Europa: Clavister
Alleen word er weinig in Europa gemaakt, hoewel Foxconn hier wel een fabriek heeft weet ik niet of ze daar ook netwerk spul maken. Accton heeft hier voor zover ik weet niets.
Maar deze leak komt uit software, software die waarschijnlijk niet in China is gemaakt maar in India of Amerika, als China er achter zit hebben ze dat waarschijnlijk gedaan door bij een van de 2 in te breken.
"Wij van wc eend starten een onderzoek naar zoeken van een buitenlandse zwarte eend".
_/-\o_ inderdaad, nee hoor, hier weten wij niets vanaf. Zal Iran, China of Rusland wel zijn :P
Ik vind het oprecht dom om van het moment dat bekend is dat mogelijk één partij van de orde 'nsa/fbi/cia/etc' hiermee te maken gehad heeft je überhaupt nog zo'n partij er bij kan betrekken...
Welke idioot daar mag beslissingen nemen en laat tegelijkertijd mogelijk de slagers hen eigen vlees keuren?
Hadden ze iets te kiezen dan? Mag je zelf kiezen welke overheidsdienst onderzoek gaat doen? Denk het niet. Zodra de FBI ervan hoorde wordt het automatisch een zaak voor de FBI omdat dit nu eenmaal hun werkveld is.
Hadden ze iets te kiezen dan? Mag je zelf kiezen welke overheidsdienst onderzoek gaat doen? Denk het niet. Zodra de FBI ervan hoorde wordt het automatisch een zaak voor de FBI omdat dit nu eenmaal hun werkveld is.
Zelfs al mag je kiezen... welke dienst zou jij dan kiezen? Alles wat ook maar enigszins met de Amerikaanse overheid te maken heeft kun je in dit geval voor geen cent vertrouwen. Uit practisch oogpunt kun je het onderzoek het beste door de NSA laten doen; die hoeven alleen in hun archieven te kijken, in plaats van alles terug in elkaar moeten puzzelen via recherche-werk. Spaart de Amerikaanse belastingbetaler weer een boel geld..
Het zou in ieder geval niet het werk zijn van de Amerikaanse overheid zelf, claimen Amerikaanse overheidsfunctionarissen.
Rechter: "Bent u schuldig?"
Verdachte: "Nee."
Rechter: "Dan spreek ik u bij deze vrij."

Als ze het niet gedaan hebben zeggen ze dat ze het niet gedaan hebben.
Als ze het wel gedaan hebben zeggen ze dat ze het niet gedaan hebben.
Als ze niet eens zeker weten of een andere dienst het misschien gedaan heeft zeggen ze dat ze het niet gedaan hebben.
De enige conclusie die we uit deze uitspraak kunnen trekken is dat ze begrijpen dat "geen commentaar" door iedereen als een bekentenis zou worden opgevat, dus dat ze iets anders moesten verzinnen; het zegt absoluut niets over de vraag of ze het gedaan hebben.
En niet vergeten, het was Fox-IT (uut Delluf) die als eerste riepen dat ze het gevonden hadden. De mannen van Rapid7 deden het dunnetjes over.
Het 2e lek (Het kunnen ontsleutelen van VPN verkeer) is (zeer waarschijnlijk) omdat men gebruikt maakt van de door de NSA (verzwakte/speciaal zo zwak ontworpen) Dual_EC_DRBG.
Dit bewijst of dat de NSA er achter zit, of dat achterdeuren in encryptie die alleen maar voor 1 partij toegankelijk zouden moeten zijn dat niet zijn.
Zie:
https://www.imperialviolet.org/2015/12/19/juniper.html
Het screenshot geeft assembly code weer. Weet iemand wat voor programma hiervoor is gebruikt om het zo te tonen?
In het bronartikel wordt de IDA Pro disassembler genoemd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True