Détaillées dans un récent bulletin de sécurité de l’équipementier, les failles de ScreenOS, l’OS qui anime les firewall et VPN de la gamme Netscreen de Juniper, attisent déjà la convoitise des pirates. C’est en tout cas la conclusion d’un centre de recherche en sécurité, le SANS Internet Storm Center, qui a monté un honeypot, autrement dit un leurre imitant la signature d’une machine ScreenOS. Dans un billet de blog, le directeur technique du centre, Johannes Ulrich, explique que ce faux firewall Netscreen enregistre de nombreuses tentatives de connexion frauduleuses. Et il parle d’une « progression » des tentatives de connexion utilisant le mot de passe frauduleux découvert par Juniper, avec des pointes à plus de 100 connections par heure le 22 décembre.
Une des vulnérabilités découvertes par Juniper lors d’un audit du code de ScreenOS réside en effet dans la présence d’un mot de passe codé en dur, permettant un accès distant avec SSH ou Telnet pour peu que l’assaillant dispose d’un nom d’utilisateur valide. Ce qui explique les tentatives détectées sur le honeypot, consistant à essayer de se connecter avec des login usuels (admin, root, netscreen…). Le mot de passe magique a, lui, été publié dimanche par la société Rapid7 suite à une analyse des firmwares incriminés.
Notons que le SANS Internet Storm Center se contente d’émuler la signature d’une machine NetScreen, sans aller plus loin. Impossible donc de savoir en l’état quelles manipulations projettent les hackers tentant de s’immiscer sur des machines sous ScreenOS.
A la lumière des résultats de ce honeypot, l’application des patchs proposés par Juniper apparaît donc indispensable. Sans surprise, car des pirates tentent toujours de profiter de la lenteur des organisations à appliquer les correctifs pour exploiter des vulnérabilités connues. Dans son billet de blog, Rapid7 indique qu’une recherche sur Shodan, un moteur répertoriant les objets connectés à Internet, révèle qu’environ 26 000 machines Netscreen ont le protocole de communication SSH ouvert. Et sont donc potentiellement concernées par la faille, à condition que la version de leur OS soit bien vulnérable.
Rappelons que l’autre vulnérabilité découverte par Juniper dans l’OS de Netscreen concerne le chiffrement et permet l’écoute de communications VPN. Elle s’avère particulièrement embarrassante pour l’équipementier, soupçonné d’avoir laissé perdurer une technologie détournée par la NSA dans ses équipements, backdoor qui aurait même été détournée par la suite par une organisation tierce.
A lire aussi :
Juniper : une backdoor made in NSA… récupérée par une organisation inconnue
Apple prend la tête du combat contre les backdoors dans le chiffrement
Backdoor ou erreur de code dans les firewall de Juniper
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.