Um dispositivo ‘honeypot ” está a detectar tentativas de autenticação e a Cisco iniciou uma revisão interna de código.
O SANS Internet Storm Center está a realizar uma experiência que mostra um incremento na busca de firewalls da Juniper, com uma vulnerabilidade revelada recentemente ainda por corrigir.
O centro de investigação configurou um dispositivo “honeypot” ‒ computador configurado para atrair potenciais atacantes, visando estudar as suas técnicas ‒ que imita uma firewall Juniper equipada com software de espionagem.
O equipamento foi preparado para parecer estar a executar o sistema operativo ScreenOS, das firewalls, explica Johannes Ullrich, CTO da Internet Storm Center.
Ullrich diz que o “honeypot” registou “numerosas” tentativas de entrada sobre SSH usando uma password divulgada pela Rapid7. Os atacantes também tentaram usar vários nomes de utilizador, como “root”, “admin” e “netscreen”.
“A nossa ‘honeypot’ não emula o ScreenOS além do ‘banner’ de login, e por isso não sabemos o que os atacantes estão a fazer, mas alguns dos ataques parecem ser ‘manuais’, nos quais identificamos a tentativa de usar diferentes comandos”, acrescenta Ullrich.
Um dos endereços IP listados como fonte de algumas sondagens feitas foi identificado como pertencente à empresa de segurança Qualys. Provavelmente, liga-se à tentativa de estimar quantos sistemas permanecem sem correcção.
“Nenhum processo pode eliminar todos os riscos”
A Cisco Systems lançou uma revisão do código interno após a divulgação da Juniper na semana passada, mas além disso está a fazer testes de penetração.
Até agora, “não temos nenhuma indicação de código não autorizado nos nossos produtos”, garante Anthony Grieco, director sénior da Security and Trust Organization, do fabricante.
Os processos estão a ser executados por engenheiros de redes.“Embora as nossas práticas normais detectem software não autorizado, reconhecemos que nenhum processo poderá eliminar todos os riscos”, ressalva Grieco.