Problemas de Seguridad con Firewalls Juniper NetScreen

the_paradox_by_jslattum

Imagen by jslattum bajo licencia CC BY-NC-ND 3.0

Como la entrada original menciona: Las puertas traseras cifradas han sido un tema candente en los últimos años, y la controvertida cuestión es más candente después de los ataques terroristas en París y San Bernardino. Incluso surgió durante el debate del candidato republicano a la presidencia de esta semana (USA). Pero nadie se dio cuenta de que alguien había instalado tranquilamente puertas traseras hace tres años en una pieza central de equipos de red utilizado para proteger los sistemas corporativos y gubernamentales en todo el mundo…

Cosa rara chico, ya que creo que muchos sabíamos(sospechábamos) de su existencia desde hace mucho en todos estos niveles de red; saludos a los amigos de la NSA; claro que personas no-geek-friki no deberían sentirse aludidas por el desconocimiento.

El jueves pasado Juniper Networks (JN) reveló en un sorprendente anuncio de que había encontrado código “no autorizado” incrustado en un sistema operativo que ejecuta en algunos de sus firewalls.

Para los neófitos y desmemoriados JN, es una de las grandes empresas que se dedica a sistemas de redes y seguridad, siendo competencia directa de Cisco y Enterasys Networks (ahora Extreme Networks), estas tres multinacionales son la que brindan la mayoría (totalidad) de los juguetes para un NetAdmin la pase siempre a tope :), ya saben routers, switches y equipos de seguridad.

netscreen5400-frontwtop-high.jpg

Uno de los equipos con problemas. Imagen extraída de Juniper Networks

Este “problema”, solo atañe a los componentes que usen el sistema propio de JN, ScreenOS, basado en Unix FreeBSD como JunOS (sistema principal de componentes JN), en concreto las versiones ScreenOS 6.2.0r15, 6.2.0r18, 6.3.0r12 y 6.3.0r20. Permitiendo tomar el control completo de los firewalls Juniper NetScreen que ejecutan el software afectado. Como también que los atacantes, si tienen amplios recursos y habilidades, puedan descifrar el tráfico cifrado que atraviesa la red privada virtual VPN, en los servidores de seguridad, en otras palabras dos backdoor. En castellano, ni la foto privada ni los videos hot que le pasas a la novia(o), etcétera, por la VPN se salvan de ser capturados por manos hábiles.

El “temor” principal es que estas versiones, están presentes en varios componentes desde el 2012, así que cuanto trafico paso por ahí, y que o quienes estaban a la escucha, y si es que no te robaron los calzoncillos (pueda ser la razón por la que estoy pobre, o por el puto gobierno, claro).

2015-12-19-172411_972x304_scrot

2015-12-19-172522_956x424_scrot

Disculpen las lineas negras, cosa de scrot. 😦

Felizmente el día de ayer ya se publicaron las nuevas revisiones para todos los equipos en peligro, eliminadas las versiones afectadas de ScreenOS y subidas las nuevas ya reparadas, para su inmediata instalación. Así que las aguas empiezan a calmarse.

Los backdoor presentes en este sistema podría dar como resultado que un atacante adquiera nivel administrativo o privilegios de root en los servidores de seguridad-esencialmente el nivel más alto de acceso en un sistema al acceder a los servidores de seguridad de forma remota a través de canales SSH o Telnet.

La explotación de esta vulnerabilidad puede llevar a un compromiso completo del sistema afectado, señaló JN.

Aunque los archivos de registro del firewall mostrarían una entrada sospechosa, esta sólo proporcionaría un mensaje  que era el “sistema” que había iniciado la sesión con éxito con una contraseña. JN señalo que en manos expertas también era posible que estas huellas fueran eliminadas por el atacante. Y para mejorar la situación permitiría  interceptar el tráfico VPN pasar por los Servidores de Seguridad de Juniper (SSJ) para descifrar el tráfico sin conocer las claves de descifrado.

Juniper dijo que no tenía pruebas de que esta vulnerabilidad se hubiera explotado, pero también señaló que, “No hay manera de detectar que esta ya haya sido usada.”

Hasta este punto era factible la manipulación total del sistema, y claramente pasamos a “DEFCON3” por la posible información sensible comprometida , dado el tiempo que tiene esta vulnerabilidad sin parchar. Los SSJ cumplen dos funciones bien marcadas para el gobierno americano aseguran las conexiones de empresas y agencias del gobierno, además de proporcionar acceso VPN seguro a los trabajadores remotos y otro personal con acceso a la red; de ahí que los yankis estén jalándose los pelos.

Expertos de la comunidad de seguridad, como Ronald Prins, fundador y CTO de Fox-IT, una firma de seguridad Holandesa, no descarta que haya sido la misma NSA que ha insertado este código, además de otros actores Estado-nación con capacidades similares, como el Reino Unido, China, Rusia, o incluso Israel.

Sin duda alguna palabras que traerán cola. El boletín de Juniper [JSA10713]  nos muestra un ejemplo de ingreso comprometido, fíjense en los puertos y como toma al username2 como si fuera system, validando su ingreso normalmente.

Normal login by user username1:
2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from …..
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user ‘username1’ at host …
Compromised login by user username2:
2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from …..
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user ‘username2’ at host …

Siendo esta segunda la comprometida, dando acceso integro al sistema, sin llamar a sospechas, al menos a primera impresión. Ahora toca la paciente labor de los NetAdmin para actualizar estos sistemas. En mi caso no tengo ninguna de estas bajo mi lupa, pero un par de colegas de empresas privadas deben estar en plena tarea de fin de semana 😉

Hasta otro post y buenas vibras lectores.

Fuentes | Juniper Networks | wired.com

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s