Mega-Hack

Master-Passwort für Juniper-Hardware veröffentlicht

von - 22.12.2015
Hacker bei Juniper
Foto: Shutterstock/beccarra
Der Juniper-Skandal nimmt seinen Lauf. Nachdem der Hersteller fremden Code in seinen Produkten gefunden hat, wurde nun das Master-Passwort für die Netzwerk-Hardware von Juniper bekannt.
Der Sicherheitsspezialist Rapid 7 hat das Master-Passwort für zahlreiche Juniper-Produkte veröffentlicht, die mit bestimmten Versionen des Betriebssystems ScreenOS laufen. Es lautet <<< %s(un='%s') = %u und soll einen vollen Zugriff auf alle Netscreen-Systeme mit den Versionen 6.2.0r15 bis 6.2.0r18 und 6.3.0r12 bis 6.3.0r20 ermöglichen.
Juniper-Passwort identifiziert
Juniper-Passwort identifiziert: Die Sicherheitsfirma Rapid 7 hat das Master-Passwort zu vielen Juniper-Geräten entdeckt und veröffentlicht.
(Quelle: Rapid 7 )
Patches stehen bereits bereit. Rapid 7 hat aber nach eigenen Angaben etwa 26.000 verwundbare Netzwerkgeräte mit direktem Internet-Zugang identifiziert, die noch nicht aktualisiert wurden.
In einem ungewöhnlichen Schritt ist Juniper selbst vor einigen Tagen an die Öffentlichkeit gegangen und hat Details über fremden Code verbreitet, der angeblich in ScreenOS platziert wurde. Mit dem genannten Passwort und einem beliebigen Benutzer-Account ist es möglich, sich direkt per SSH in ungepatchte Netzwerk-Hardware einzuloggen. Dank einer weiteren Sicherheitslücke ist es außerdem möglich, VNP-Verbindungen zu belauschen.
Wer hinter der Manipulation steckt, ist nicht bekannt. Weithin wird aber die NSA verdächtigt, den Code platziert zu haben.
Verwandte Themen

Mehr zum Thema