Juniper Firewalls mit Sicherheitslücke im SSH-Zugriff - VPN ebenfalls betroffen

In einer gestern veröffentlichten Bekanntmachung auf heiseSecurity (http://www.heise.de/newsticker/meldung/Schnueffelcode-in-Juniper-Netzgeraeten-Weitere-Erkenntnisse-und-Spekulationen-3051260.html) wurde eine am 19.12.2015 bereits bekanntgewordene Sicherheitslücke im Betriebssystem ScreensOS des Firewallherstellers Juniper nochmals spezifiziert. Nach aktuellem Kenntnisstand ist es so unbefugten Dritten möglich sich als Administrator an betroffenen Geräten remote anzumelden und vollständigen Zugriff auf das Gerät und die dahinterliegenden Netzwerke zu erhalten. Desweiteren kann der gesamte VPN-Datenverkehr ausgelesen bzw. entschlüsselt werden.

Der Hersteller hat die SSG-Geräteserie schon seit geraumer Zeit abgekündigt, d.h. die Geräte werden in dieser Form nicht weiterentwickelt und erhalten seit geraumer Zeit keine Firmwareupdates mehr.
Inwieweit die Sicherheitslücke in der zuletzt verfügbaren Firmware 6.3.0r18 noch enthalten ist, ist derzeit leider noch nicht bekannt.

Sollten Sie ein betroffenes Gerät einsetzen, kommen wir gesondert auf Sie zu.