Faille Juniper : les hackers sont déjà à l’affût

Selon un centre de recherche en sécurité, des hackers tentent déjà d’exploiter la faille découverte dans les boîtiers Netscreen de Juniper.

Détaillées dans un récent bulletin de sécurité de l’équipementier, les failles de ScreenOS, l’OS qui anime les firewall et VPN de la gamme Netscreen de Juniper, attisent déjà la convoitise des pirates. C’est en tout cas la conclusion d’un centre de recherche en sécurité, le SANS Internet Storm Center, qui a monté un honeypot, autrement dit un leurre imitant la signature d’une machine ScreenOS. Dans un billet de blog, le directeur technique du centre, Johannes Ulrich, explique que ce faux firewall Netscreen enregistre de nombreuses tentatives de connexion frauduleuses. Et il parle d’une « progression » des tentatives de connexion utilisant le mot de passe frauduleux découvert par Juniper, avec des pointes à plus de 100 connections par heure le 22 décembre.

Mot de passe magique

Une des vulnérabilités découvertes par Juniper lors d’un audit du code de ScreenOS réside en effet dans la présence d’un mot de passe codé en dur, permettant un accès distant avec SSH ou Telnet pour peu que l’assaillant dispose d’un nom d’utilisateur valide. Ce qui explique les tentatives détectées sur le honeypot, consistant à essayer de se connecter avec des login usuels (admin, root, netscreen…). Le mot de passe magique a, lui, été publié dimanche par la société Rapid7 suite à une analyse des firmwares incriminés.

Notons que le SANS Internet Storm Center se contente d’émuler la signature d’une machine NetScreen, sans aller plus loin. Impossible donc de savoir en l’état quelles manipulations projettent les hackers tentant de s’immiscer sur des machines sous ScreenOS.

26 000 machines Netscreen accessibles

A la lumière des résultats de ce honeypot, l’application des patchs proposés par Juniper apparaît donc indispensable. Sans surprise, car des pirates tentent toujours de profiter de la lenteur des organisations à appliquer les correctifs pour exploiter des vulnérabilités connues. Dans son billet de blog, Rapid7 indique qu’une recherche sur Shodan, un moteur répertoriant les objets connectés à Internet, révèle qu’environ 26 000 machines Netscreen ont le protocole de communication SSH ouvert. Et sont donc potentiellement concernées par la faille, à condition que la version de leur OS soit bien vulnérable.

Rappelons que l’autre vulnérabilité découverte par Juniper dans l’OS de Netscreen concerne le chiffrement et permet l’écoute de communications VPN. Elle s’avère particulièrement embarrassante pour l’équipementier, soupçonné d’avoir laissé perdurer une technologie détournée par la NSA dans ses équipements, backdoor qui aurait même été détournée par la suite par une organisation tierce.

A lire aussi :

Juniper : une backdoor made in NSA… récupérée par une organisation inconnue

Apple prend la tête du combat contre les backdoors dans le chiffrement

Backdoor ou erreur de code dans les firewall de Juniper