Mega-Hack
23.12.2015, 09:15 Uhr
Master-Passwort für Juniper-Hardware veröffentlicht
Der Juniper-Skandal nimmt seinen Lauf. Nachdem der Hersteller fremden Code in seinen Produkten gefunden hat, wurde nun das Master-Passwort für die Netzwerk-Hardware von Juniper bekannt.
Der Sicherheitsspezialist Rapid 7 hat das Master-Passwort für zahlreiche Juniper-Produkte veröffentlicht, die mit bestimmten Versionen des Betriebssystems ScreenOS laufen. Es lautet <<< %s(un='%s') = %u und soll einen vollen Zugriff auf alle Netscreen-Systeme mit den Versionen 6.2.0r15 bis 6.2.0r18 und 6.3.0r12 bis 6.3.0r20 ermöglichen.
Juniper-Passwort identifiziert: Die Sicherheitsfirma Rapid 7 hat das Master-Passwort zu vielen Juniper-Geräten entdeckt und veröffentlicht.
Quelle: Rapid 7
In einem ungewöhnlichen Schritt ist Juniper selbst vor einigen Tagen an die Öffentlichkeit gegangen und hat Details über fremden Code verbreitet, der angeblich in ScreenOS platziert wurde. Mit dem genannten Passwort und einem beliebigen Benutzer-Account ist es möglich, sich direkt per SSH in ungepatchte Netzwerk-Hardware einzuloggen. Dank einer weiteren Sicherheitslücke ist es ausserdem möglich, VNP-Verbindungen zu belauschen.
Wer hinter der Manipulation steckt, ist nicht bekannt. Weithin wird aber die NSA verdächtigt, den Code platziert zu haben.