Juniper Networks ha anunciado que ha descubierto “software no autorizado” en ScreenOS, el sistema operativo para sus firewalls NetScreen. Este backdoor permite a un atacante desencriptar el tráfico enviado a través de una VPN y/o tomar control del firewall. Se recomienda parchear inmediatamente.

Juniper

Al parecer a través de una revisión interna de código de ScreenOS, se ha descubierto la existencia de cierta cantidad de código que permitiría a un atacante desencriptar el tráfico que circulara a través de una VPN sin dejar ningún rastro. Según informaciones de la propia Juniper Networks, este código se encontraría presente en versiones de ScreenOS que se remontan al menos a 2012.

Las versiones afectadas por el momento son ScreenOS 6.2.0r15 a la 6.2.0r18 y la versión 6.3.0r12 a la 6.3.0r20. Aunque se sigue revisando a marchas forzadas el código de otros dispositivos Juniper Networks no ha encontrado ningún otro fallo similar.

El backdoor en cuestión permite a un atacante remoto tomar control del firewall a través de una conexión remota SSH o telnet a mediante una vulnerabilidad de acceso remoto y además desencriptar el tráfico VPN, todo esto sin dejar ningún rastro en el dispositivo.

Juniper Networks afirma por otra parte no haber detectado ataques siendo llevados a cabo, pero la misma existencia de este código no autorizado prueba que alguien lo conocía y lleva años con capacidad de desencriptar y enviar el tráfico enviado a través de cualquiera de estos dispositivos comprometidos...

Se recomienda actualizar inmediatamente Screen OS con los parches que podéis encontrar en la página de Juniper Networks.

Fuente Juniper Networks