# Juniper Backdoor > Tipo: **backdoor** · S0201 · [MITRE ATT&CK](https://attack.mitre.org/software/S0201) ## Descrição O [[s0201-juniper-backdoor|Juniper Backdoor]] refere-se a backdoors não autorizados descobertos em dezembro de 2015 no sistema operacional ScreenOS dos firewalls Juniper NetScreen, afetando versões desde pelo menos 2012. A descoberta revelou dois backdoors distintos: um que permitia autenticação SSH/Telnet com uma senha mestre hardcoded ("<<< %s(un='%s') = %u"), e outro que descriptografava tráfego VPN passivo capturado. A Juniper atribuiu os backdoors a "atores não autorizados", mas a investigação subsequente sugeriu que o segundo backdoor poderia ter sido inserido por um ator estatal ao modificar código existente de uma agência de inteligência ocidental. A sofisticação dos backdoors indica envolvimento de um ator estatal com acesso à cadeia de suprimentos de software da Juniper ou capacidade de infiltrar seu processo de desenvolvimento. O backdoor de autenticação ([[t1078-valid-accounts|T1078]], [[t1556-modify-authentication-process|T1556]]) permitia acesso total a dispositivos Juniper NetScreen em uso por governos, militares e empresas críticas ao redor do mundo, enquanto o backdoor VPN ([[t1040-network-sniffing|T1040]]) permitia decriptografia passiva de comúnicações VPN cifradas - potencialmente por anos sem detecção. O incidente do [[s0201-juniper-backdoor|Juniper Backdoor]] é considerado um dos maiores comprometimentos de infraestrutura de segurança de rede da história, pois os firewalls NetScreen afetados eram amplamente utilizados por agências governamentais americanas, bancos e empresas Fortune 500. O código ofuscado ([[t1027-obfuscated-files-or-information|T1027]]) nos backdoors dificultou a detecção por anos. O caso levantou questões fundamentais sobre segurança da cadeia de suprimentos de hardware/software de redes e a confiabilidade de equipamentos de segurança de fornecedores ocidentais. **Plataformas:** Network ## Técnicas Utilizadas - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Detecção Detecção do [[s0201-juniper-backdoor|Juniper Backdoor]] requer auditoria de firmware e verificação de integridade. Organizações usando firewalls Juniper NetScreen devem verificar versões de firmware afetadas e aplicar o patch públicado pela Juniper em dezembro de 2015 imediatamente. Análise de logs de autenticação para tentativas com a senha mestre conhecida, e comparação de checksums de firmware instalado com versões legítimas públicadas pela Juniper, são os principais controles de detecção. Análise de tráfego VPN pode identificar padrões de descriptografia não autorizada. ## Relevância LATAM/Brasil Firewalls Juniper NetScreen eram amplamente utilizados por bancos, operadoras de telecomúnicações e agências governamentais brasileiras no período de 2012-2015, quando o backdoor estava ativo. Organizações brasileiras que utilizavam esses dispositivos para proteção de VPNs corporativas e de acesso remoto podem ter tido seu tráfego interceptado por anos sem conhecimento. O caso é um exemplo paradigmático de risco de cadeia de suprimentos em equipamentos de segurança de rede - lição diretamente aplicável ao cenário atual de preocupações com equipamentos de fabricantes chineses e russos no Brasil. ## Referências - [MITRE ATT&CK - S0201](https://attack.mitre.org/software/S0201)