← voltar
CVE-2015-7755

CVE-2015-7755

CVSS 9.8 CRITICALEPSS 61.4%● KEVCWE-287
Em resumo

Firewalls Juniper ScreenOS têm uma falha crítica que permite a atacantes obter acesso administrativo completo inserindo uma senha especial em conexões SSH ou Telnet. Essa vulnerabilidade coloca redes inteiras em risco, pois atacantes podem assumir controle total do firewall.

Detalhe técnico

CVE-2015-7755 é um bypass de autenticação no Juniper ScreenOS afetando versões 6.2.0r15-r18 e série 6.3.0. Atacantes remotos podem obter privilégios administrativos através de uma senha não divulgada durante sessões SSH ou Telnet (CWE-287: Autenticação Imprópria). O ataque requer acesso de rede à interface de gerenciamento e resulta em compromisso administrativo completo do dispositivo.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Juniper ScreenOS 6.2.0r15 through 6.2.0r18, 6.3.0r12 before 6.3.0r12b, 6.3.0r13 before 6.3.0r13b, 6.3.0r14 before 6.3.0r14b, 6.3.0r15 before 6.3.0r15b, 6.3.0r16 before 6.3.0r16b, 6.3.0r17 before 6.3.0r17b, 6.3.0r18 before 6.3.0r18b, 6.3.0r19 before 6.3.0r19b, and 6.3.0r20 before 6.3.0r21 allows remote attackers to obtain administrative access by entering an unspecified password during a (1) SSH or (2) TELNET session.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a
PoCs públicas encontradas2
githubgithub.com/hdm/juniper-cve-2015-7755105githubgithub.com/cinno/CVE-2015-7755-POC2
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713https://adamcaudill.com/2015/12/17/much-ado-about-juniper/https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554https://github.com/hdm/juniper-cve-2015-7755https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2015-7755http://twitter.com/cryptoron/statuses/677900647560253442http://www.forbes.com/sites/thomasbrewster/2015/12/18/juniper-says-it-didnt-work-with-government-to-add-unauthorized-code-to-network-gear/http://www.kb.cert.org/vuls/id/640184http://www.securityfocus.com/bid/79626http://www.securitytracker.com/id/1034489http://www.wired.com/2015/12/juniper-networks-hidden-backdoors-show-the-risk-of-government-backdoors/