El viernes, Juniper Networks admitió que sí que hay exploits incrustados en el depósito de datos de ShadowBrokers que atacan sus productos.
“Como parte de nuestro análisis de estos archivos, hemos identificado un ataque contra dispositivos que se ejecutan con ScreenOS”, señaló Derrick Scholl, director de respuestas a incidentes de seguridad de Juniper. “Estamos examinando el alcance del ataque, pero el análisis inicial indica que ataca al gestor de arranque y no explota una vulnerabilidad en los dispositivos con ScreenOS”.
“Seguiremos evaluando para determinar exactamente el nivel de acceso necesario para ejecutar el ataque, si es posible detectar el ataque, y si otros dispositivos son susceptibles”, añadió Scholl.
Los exploits para vulnerabilidades en los productos de Cisco y Fortinet también habían sido expuestos en el depósito de datos por los aún desconocidos miembros de ShadowBrokers, quienes la anterior semana iniciaron una subasta de exploits pertenecientes al grupo Equation, que muchos suponen que está afiliado a la Agencia de Seguridad Nacional (NSA).
Se considera que el grupo Equation está a la cabeza de la cadena alimentaria de APTs. Varios investigadores, incluyendo los de Kaspersky Lab que descubrieron y en 2015 informaron sobre este grupo de espionaje, confirmaron sólidos vínculos entre los exploits y anteriores herramientas de ataque supuestamente pertenecientes a este grupo.
Juniper ha sido el último de los tres gigantes fabricantes de redes atacados por el grupo Equation en reconocer la legitimidad de los archivos. La semana pasada, Cisco, dijo que uno de los ataques apunta a una vulnerabilidad día cero en su cortafuegos ASA que aún no ha sido reparada. Otra vulnerabilidad en la línea de comandos del analizador sintáctico de ASA se reparó en 2011; ese virus era capaz de colapsar los dispositivos que ejecutaban el software que permitía la ejecución del código si un atacante ya se encontraba en el equipo, señaló Cisco.
Mientras tanto, la vulnerabilidad de día cero de Cisco se encuentra en la implementación SNMP de ASA, que podría permitir que un atacante remoto sin autenticarse ejecutara el código en la caja. Cisco dijo que ha publicado una firma IPS Cisco Legacy con ID: 7655-0, y una regla Snort con ID: 3:39885.
“La vulnerabilidad se debe a un desbordamiento de búfer en el código de área afectado. Un atacante podría explotar esta vulnerabilidad enviando paquetes SNMP especialmente diseñados al sistema afectado”, añadió Cisco en su advertencia. “Un exploit podría permitirle al atacante ejecutar un código arbitrario para obtener el control total del sistema o para ocasionar que el sistema afectado se recargue. El atacante debe conocer la cadena de comunidad SNMP para explotar esta vulnerabilidad”.
A finales de la semana pasada, el investigador Mustafa Al-Bassam detectó otro exploit del grupo Equation en el depósito llamado BENIGNCERTAIN. Este exploit ataca los cortafuegos de PIX de Cisco que ya no cuentan con el soporte de la compañía. El ataque, apuntó Al-Bassam, permite que el atacante remoto intercepte y robe llaves de cifrado RSA privadas.
“El análisis de la herramienta muestra que parece ser un exploit remoto para los dispositivos PIX de Cisco que le envía un protocolo Internet Key Exchange (IKE) al equipo atacado, ocasionando que vacíe parte de su memoria”, afirmó Al Bassam en su informe. “Este vaciado de la memoria puede ser analizado sintácticamente para extraer una llave privada RSA y otros datos críticos de la configuración”.
El viernes, Cisco también respondió a este ataque indicando que su investigación de BENIGNCERTAIN no ha mostrado nuevas vulnerabilidades en sus productos actuales.
“Aunque el PIX de Cisco no tiene soporte desde 2009, preocupados por los usuarios que siguen usando PIX, hemos investigado este tema y hemos encontrado que las versiones 6.x y anteriores de PIX han sido afectadas”, afirmó Omar Santos de Cisco en una advertencia actualizada sobre ShadowBrokers. “Confirmamos que las versiones 7.0 y posteriores de PIX no han sido afectadas por BENINGCERTAIN. El ASA de Cisco no es vulnerable”.
En cuanto a la aceptación de Juniper, no es la primera vez que la herramienta de esta compañía es atacada por la NSA. Sus productos han sido señalados en documentos de la NSA capturados por el informante Edward Snowden y publicados por Der Spiegel en 2013. A fines del año pasado, la compañía afirmó haber encontrado y eliminado un “código no autorizado” de su sistema operativo ScreenOS que permitía al atacante descifrar el tráfico VPN en los dispositivos NetScreen.
En el artículo escrito por Jacob Appelbaum, Judit Horchert y Christian Stocker, publicado por Der Spiegel en 2013, los autores describieron el implante FEEDTHROUGH de la NSA que proporcionaba una puerta trasera de acceso a los cortafuegos NetScreen y VPNs con sistema operativo ScreenOS. Juniper encontró y reparó dos vulnerabilidades el pasado diciembre; una era la puerta trasera de descifrado VPN que permitía el acceso remoto a los dispositivos NetScreen vía SSH o telnet.
Fuentes: Threatpost
Juniper admite que el grupo Equation atacó a ScreenOS