Trovate nei firewall Juniper due backdoor presenti da tre anni

Per più di tre anni, aziende in tutto il mondo sono rimaste aperte a intrusioni dall’esterno
I firewall sono un bersaglio pregiato per un attaccante, criminale o governativo che sia, perché rappresentano la linea di difesa principale verso l’esterno e controllano tutto il traffico di rete dell’azienda.
La revisione interna del codice ha evidenziato due falle. La prima può appunto permettere l’accesso remoto come amministratore via telnet o SSH.
La seconda può consentire a un attaccante in grado di monitorare il traffico di una VPN di decifrare il contenuto dei pacchetti.
L’alterazione del software di un’azienda così importante con codice specificamente progettato per spiare non può che far tornare in mente le rivelazioni sulle operazioni clandestine dell’NSA, descritte nei documenti diffusi al pubblico nel 2013 da Edward Snowden.
Un articolo del dicembre 2013 sulla testata tedesca Der Spiegel elencava un catalogo di 50 pagine contente prodotti hardware e software usati dall’NSA per infiltrarsi in computer e apparecchiature. Uno di questi aveva come bersaglio le appliance NetScreen di Juniper.
Il documento descrive una tecnica chiamata FEEDTROUGH, usata per mantenere due tipi di backdoor nei firewall NetScreen, anche se questi venivano riavviati o il software aggiornato.
Secondo Der Spiegel, l’NSA ha preso di mira anche altri grandi produttori di apparecchiature di networking, compresi Cisco e Huawei.
Aggiornamento 21/12/2015 ore 17:52
Ricercatori di Rapid7 hanno analizzato il sistema operativo ScreenOS e identificato la password, che è stata abilmente camuffata per essere cambiata per codice di debugging nel sorgente. La password è quindi da considerare pubblica, e ogni firewall Juniper che monti una delle versioni incriminate di ScreenOS e sia raggiungibile dall’esterno via telnet o SSH è aperto a qualsiasi intrusione.