Hintertür in Juniper-Firewalls wird aktiv ausgenutzt

23. Dezember 2015, 13:07
18 Postings

Angreifer die Passwort kennen, können sich ohne Problem per SSH einlogen – Spurensuche läuft

Es kommt, wie es kommen musste: Nur kurz nachdem zwei Hintertüren in den Sicherheitslösungen von Juniper bekannt wurden, werden diese jetzt aktiv ausgenutzt.

Verwunderlich ist diese Entwicklung allerdings nicht: Immerhin sind keine großen technischen Skills notwendig, um einen solchen Angriff durchzuführen. Das Wissen über das mittlerweile öffentlich publizierte Master-Passwort reicht aus, um sich auf einem System mit einer der verwundbaren Versionen von Junipers ScreenOS via SSH einzuloggen.

Scanner

Zudem gibt es mittlerweile nicht nur mehrere Scanner-Programme, die gezielt nach der Lücke suchen, auch das Exploit-Framework Metasploit soll schon bald ein entsprechendes Modul erhalten. Beim SANS Internet Storm Center hat man wiederum einen "Honeypot" mit einem verwundbaren Juniper-Geräte aufgestellt, und so die laufenden Angriffsversuche dokumentiert.

Kombination

Unterdessen läuft weiter die Spurensuche, wer jetzt eigentlich schlussendlich die Hintertüren in die Juniper-Software eingebracht hat – und vor allem wer sie dann aktiv genutzt hat. Nach aktuellem Stand dürfte Juniper bei der zweiten Hintertür, die das Ausspionieren von VPN-Verbindungen ermöglicht, einen von der NSA gezielt geschwächten Zufallszahlengenerator eingesetzt haben. Diese Schwäche dürften sich dann andere Angreifer zunutze gemacht haben, um selbst ein ziemlich unauffälliges Backdoor einzubringen.

Spurensuche

Die US-Behörden dementieren jedenfalls, dass die Hintertüren auf sie zurückzuführen sind. Gerade dies könnte ihnen aber in der aktuellen Diskussion über Verschlüsselungs-Backdoors ziemlich ungelegen kommen. Wäre der Vorfall doch dann geradezu ein Paradebeispiel für die Gefährlichkeit der bewussten Schwächung von Verschlüsselung. (red, 23.12.2015)

  • Artikelbild
    foto: frank augstein / ap
Share if you care.