18.12.2015 | 10:16

Adam Haertle

Kompromitacja Junipera – tylna furtka w firewallach istniała od 3 lat

Juniper właśnie ogłosił, że w wielu z produktów z serii Netscreen znajduje się tylna furtka, która umożliwia nieautoryzowany dostęp do treści połączeń VPN oraz zdalne przejmowanie pełnej kontroli nad urządzeniami. Furtka mogła być obecna w kodzie od lat!

Ogłoszenie Junipera jest chyba jedną z najbardziej spektakularnych wpadek w historii bezpieczeństwa informacji. Warto także zauważyć, że dokumenty NSA wykradzione przez Snowdena i opublikowane 2 lata temu pokazywały, że NSA posiada możliwości podsłuchiwania dokładnie tej samej kategorii urządzeń tego producenta.

Mamy tylną furtkę, a w zasadzie wrota

Wczoraj wieczorem Juniper wydał poprawkę bezpieczeństwa dla systemu operacyjnego ScreenOS, używanego przez firewalle NetScreen®. Z opisu zidentyfikowanych problemów można wyczytać, że usuwa ona dwie krytycznie niebezpieczne funkcje. Pierwsza to nieautoryzowany zdalny dostęp do urządzeń przez protokoły telnet oraz SSH (wskazywane jest konto system). Już sam ten problem jest tragedią – nieautoryzowany dostęp do firewalla na poziomie administratora umożliwia nie tylko dowolne kontrolowanie jego zachowania, ale także ukrycie faktu dostępu.

To jednak nie wszystko – drugi problem okazuje się być równie, jeśli nie bardziej poważny. Juniper pisze wprost, że atakujący mógł uzyskać możliwość odszyfrowania treści przechwyconych połączeń VPN zestawianych przez te urządzenia. Oznacza to, że służby specjalne takie jak NSA czy GCHQ, o których wiemy, że podsłuchują hurtowo ruch internetowy, mogły nagrywać treść połączeń VPN i ją odszyfrowywać bez żadnego problemu.

Oba problemy są tym gorsze, że nie istnieje żaden sposób by dowiedzieć się, czy dane urządzenie lub połączenie było celem ataku. Należy zatem założyć, że wszystkie informacje przesyłane przez firewalle Netscreen przez ostatnie 3 lata mogą być w rękach obcych służb.

Trzy lata? Juniper, serio?

Juniper wskazuje, że nieutoryzowany kod znaleziono w wersjach ScreenOS od 6.2.0r15 do 6.2.0r18 oraz od 6.3.0r12 do 6.3.0r20. Rzut oka na daty wydania poszczególnych wersji wskazuje, że tylna furtka była obecna w kodzie od jesieni 2012 do wczoraj. Nie wiemy jeszcze, jak bardzo wyrafinowany był kod zawierający ukryte funkcje, ale konieczność analizy kodu systemu operacyjnego nie powinna była być dla Junipera zaskoczeniem po tym, jak w internecie opublikowano karty z katalogu produktów NSA jasno wskazujące na poważny problem w urządzeniach Netscreen.

Karta z katalogu NSA

Karta z katalogu NSA

Czy faktycznie trzeba było tylu lat, by wykryć zmodyfikowany kod? W jaki sposób wprowadzono zmiany? Dlaczego nie zostały wykryte? Ile jeszcze takich kwiatków czeka w kodzie źródłowym oprogramowania urządzeń sieciowych? Niestety na odpowiedzi na te pytania musimy jeszcze poczekać.

Powrót

Komentarze

  • 2015.12.18 11:05 Radek Radek

    yes.

    Odpowiedz
  • 2015.12.18 12:12 Marc1n

    Wykryć? Sami go tam pewnie dorzucili. Podejrzewam że prostu ktoś inny go znalazł i zagroził publikacją więc trzeba było całość załatać.

    Odpowiedz
  • 2015.12.18 13:04 Albert

    Może jeszcze niedługo się okaże, że każdy kupując sobie ADSLa do domu dostaje w rzeczywistości symetryka z ukrytą przepustowością na… upload wszystkiego co się dzieje w jego sieci domowej? Oczywiście wiadomo gdzie upload ;)

    Odpowiedz
    • 2015.12.18 14:18 Dfdg

      Łot? :D Przecież to wszystko przelatuje już przez infrę dostawcy, po cholerę to jeszcze dublować? :D

      Odpowiedz
      • 2015.12.19 06:18 Kamil

        może żeby dobrać się do szyfrowanego ruchu VPN?

        Odpowiedz
    • 2015.12.18 16:49 Therminus

      Technologia ADSL z zasady nie jest symetryczna. Stosunek download/upload wynosi 4/1. Inna rzecz, że mało kto daje możliwość pełnego wykorzystania wszystkich kanałów uploadu.

      Odpowiedz
  • 2015.12.18 13:28 QuadDamage

    Strach kupować teraz routery/switche, ogólnie sprzęty tego typu. Nie zdziwię się jeśli z czasem zacznie się boom na urządzenia sprzed wielu lat, gdzie ich budowa jest prosta jak konstrukcja cepa i nie ma możliwości (miejsca – chipu, pamięci, etc) aby przemycić jakiekolwiek backdoora.

    Odpowiedz
  • 2015.12.18 13:45 Rox

    Hmm ale w domowych routerach mozna wgrac alt firmware wiec nie ma problemu z adsl..

    Odpowiedz
    • 2015.12.18 19:48 megaterium

      Jest. Nie ma alternatywnego firmware obsługującego technologię ADSL. W tym problem, że na router spoko można wgrać inne, ale modemy są skazane na soft od producenta.

      Odpowiedz
      • 2015.12.20 02:29 Filip

        Jedno pudelko do adsl, i wszystkie przekierowania /bridge na openwrt.

        Odpowiedz
        • 2015.12.20 20:52 megaterium

          Ale nadal będzie skaszaniony modem ADSL, który będzie miał zamknięty kod.

          Odpowiedz
      • 2015.12.24 16:28 koleszka śniegowy

        Na WAG200 był – taki wyjątek.
        Przez pomyłkę opublikowali jako „komponenty GPL” cały kod i ktoś to zdążył zauważyć…

        Odpowiedz
  • 2015.12.18 13:53 on

    to tlumaczy zmiane kluczy slużacych do podpisywania oprogramowania dla screenos jaka zrobił Juniper w 2014 (potencjalny wyciek kluczy, bez dodowodów na kompromitacje):

    Odpowiedz
    • 2015.12.21 08:37 Ninja

      Nauczcie się w końcu, do cholery, że compromise != kompromitacja !!!!

      Odpowiedz
      • 2015.12.21 09:01 Adam

        Zwróć łaskawie uwagę, że słowo kompromitacja w tytule użyte jest w sensie kompromitacji.

        Odpowiedz
  • 2015.12.18 17:11 megaterium

    Dlatego nie powinno się używać urządzeń sieciowych, które to urządzenia nie mają firmware’u OS. Mój router jest zbudowany wyłącznie na bazie takiego oprogramowania i nie słychać o żadnych furtkach. To samo z VPN-ami, tylko otwartoźrodłowe implementacje.

    Odpowiedz
    • 2015.12.19 00:04 marianZ

      Tylko jedno drobne pytanie: Czy masz schemat, z pomocą którego możesz powiedzieć: „Nie, w żadnym miejscu nie pracuje zamknięte oprogramowanie.”? Bo jeżeli nie ma, to niestety soft może być najbezpieczniejszy, a i tak jakiś chip będzie monitorował magistralę.

      Odpowiedz
      • 2015.12.20 20:55 megaterium

        Póki co nikt jeszcze nie znalazł w czipie mojego routera żadnej tylnej furtki. Ale co do zasady zgodzę się, czipy mogą mieć furtki np. te od Intela.

        Odpowiedz
  • 2015.12.18 21:16 alastor

    Albo sami stoja za tym kodem albo sa banda amatorow. Tak czy inaczej nie mozna im ufac.

    Odpowiedz
  • 2015.12.21 18:23 Bartek

    Weźcie coś zmieńcie z tym layoutem.

    Odpowiedz
  • 2016.01.01 03:13 Paweł

    NetScreen to historia… tak, ktoś wciąż tego używa. Mniej więcej jak Windows Server 2003.

    Odpowiedz
  • 2016.01.14 12:48 ~

    @ADSL – no i właśnie dlatego mój modem jest tylko modemem (nawet, jak ma w pi.du funkcjonalności) i jest do niego podłączony, jako jedyny, całkiem oddzielny router do sieci domowej. Sobie mogą słuchać…

    Odpowiedz

Zostaw odpowiedź do Radek Radek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Kompromitacja Junipera – tylna furtka w firewallach istniała od 3 lat

Komentarze