Der Sicherheitsspezialist Rapid 7 hat das Master-Passwort für zahlreiche Juniper-Produkte veröffentlicht, die mit
bestimmten Versionen des Betriebssystems ScreenOS laufen. Es lautet
<<< %s(un='%s') = %u und soll einen vollen Zugriff auf alle Netscreen-Systeme mit den Versionen 6.2.0r15 bis 6.2.0r18 und 6.3.0r12 bis 6.3.0r20 ermöglichen.
Juniper-Passwort identifiziert: Die Sicherheitsfirma Rapid 7 hat das Master-Passwort zu vielen Juniper-Geräten entdeckt und veröffentlicht.
Quelle: (Quelle: Rapid 7 )
Patches stehen bereits bereit. Rapid 7 hat aber nach eigenen
Angaben etwa 26.000 verwundbare Netzwerkgeräte mit direktem
Internet-Zugang identifiziert, die noch nicht aktualisiert wurden.
In einem ungewöhnlichen Schritt ist Juniper selbst vor einigen Tagen an die Öffentlichkeit gegangen und hat Details über fremden Code verbreitet, der angeblich in ScreenOS platziert wurde. Mit dem genannten Passwort und einem beliebigen Benutzer-Account ist es möglich, sich direkt per SSH in ungepatchte Netzwerk-Hardware einzuloggen. Dank einer weiteren Sicherheitslücke ist es außerdem möglich, VNP-Verbindungen zu belauschen.
Wer hinter der Manipulation steckt, ist nicht bekannt. Weithin wird aber die NSA verdächtigt, den Code platziert zu haben.