El pasado 17 de diciembre Juniper Networks, uno de los principales proveedores de hardware para redes del mundo, emitió un comunicado en el que indicó que habían encontrado código no autorizado en su sistema operativo ScreeenOS. Este código permitiría que un atacante consigues hacerse permisos de administrador a equipos en el que el acceso telnet o ssh esté habilitado.
Este sistema operativo se encuentra en cortafuegos NetScreen y dispositivos SSG (Secure Service Gateway), e ISG (Integrated Security Gateway), lo cual supone un severo riesgo de seguridad. Esta vulnerabilidad podría llevar presente desde 2012, aunque no se habrían enviado sistemas a sus clientes hasta finales de 2013. La presencia de código malicioso en el SO de estos dispositivos ha sido verificado por fuentes externas a Juniper.
Desde el blog de la comunidad Rapid7, el fundador de Metasploit y de Rapid7, H.D. Moore, ha publicado un análisis de las versiones de ScreenOS afectadas, confirmando la existencia de una contraseña de administración en el código, que sería <<< %s(un='%s') = %u"—a, la cual ha pasado desapercibida al poder confundirse con código de depuración. Las versiones afectadas van de la 6.2.0r15 a la 6.2.0r18, y de la 6.3.0r12 a la 6.3.0r20.
La única solución para eliminar este acceso como administrador es actualizar el firmware de los equipos a la nueva versión. Para evitar estos accesos en los dispositivos que no se actualicen se puede emplear el conjunto de reglas para el sistema de detección de intrusiones open source SNORT, desarrolladas por la compañía de seguridad danesa Fox IT.
Vía: Ars Technica.
