Trovate nei firewall Juniper due backdoor presenti da tre anni

L'azienda ha scovato nel sistema operativo dei suoi firewall due backdoor che per tre anni hanno consentito accesso remoto e intercettazione del traffico, anche VPN. C'è lo zampino dell'NSA?

Juniper Networks Firewall Backdoor

Juniper Networks, tra I principali fornitori di apparati di networking e sicurezza corporate, ha affermato martedì di aver trovato due backdoor inserite nel codice di alcuni modelli sei suoi firewall, una scoperta allarmante che può essere collegata alle attività di spionaggio condotte da governi, evidenziate anche dalle rivelazioni di Edward Snowden.

I prodotti colpiti sono quelli basati su ScreenOS, il sistema operativo di Juniper utilizzato su firewall e dispositivi per VPN. Le versioni di ScreenOS vulnerabili sono quelle che vanno dalla 2.0r15 alla 6.2.0r18 e dalla 6.3.0r12 alla 6.3.0r20, secondo il report di sicurezza emesso dall’azienda.

Il codice non autorizzato è stato trovato durante un audit del codice interno, ha scritto Bob Worrall, Chief Information Officer di Juniper, senza però rilasciare ipotesi sull’origine di quelle porzioni di codice.

ADV
Webinar Finanziamenti a fondo perduto PNRR NextGen EU

L’IT as-a-service e le opportunità dei finanziamenti PNRR e NexGen EU

Come il modello IT as-a-Service e i finanziamenti NextGen EU e PNRR possono essere gli strumenti giusti per erogare i servizi digitali richiesti dal business e dal mercato.      ISCRIVITI ORA >>

L’azienda ha già rilasciato patch critiche per risolvere il problema.

Worrel ha dichiarato che “in questo momento non abbiamo ricevuto alcuna segnalazione del fatto che queste vulnerabilità siano state effettivamente sfruttate”. Va detto però che, considerato il fatto che la backdoor consente di accedere ai firwall con credenziali da amministratore, è perfettamente possibile che alcune violazioni siano state effettivamente portate a termine, e l’attaccante abbia in seguito cancellato le sue tracce dai file di log.

Per più di tre anni, aziende in tutto il mondo sono rimaste aperte a intrusioni dall’esterno

In effetti, Juniper ha affermato che “non c’è modo di rilevare se la vulnerabilità sia stata effettivamente sfruttata”. Considerando che secondo la documentazione la prima versione di ScreenOS colpita, la 6.2.0r15, è stata rilasciata a settembre 2012, c’è un lasso di tempo di più di tre anni in cui le reti di aziende in tutto il mondo possono essere rimaste esposte a infiltrazioni esterne.

I firewall sono un bersaglio pregiato per un attaccante, criminale o governativo che sia, perché rappresentano la linea di difesa principale verso l’esterno e controllano tutto il traffico di rete dell’azienda.

La revisione interna del codice ha evidenziato due falle. La prima può appunto permettere l’accesso remoto come amministratore via telnet o SSH.

La seconda può consentire a un attaccante in grado di monitorare il traffico di una VPN di decifrare il contenuto dei pacchetti.

L’alterazione del software di un’azienda così importante con codice specificamente progettato per spiare non può che far tornare in mente le rivelazioni sulle operazioni clandestine dell’NSA, descritte nei documenti diffusi al pubblico nel 2013 da Edward Snowden.

Un articolo del dicembre 2013 sulla testata tedesca Der Spiegel elencava un catalogo di 50 pagine contente prodotti hardware e software usati dall’NSA per infiltrarsi in computer e apparecchiature. Uno di questi aveva come bersaglio le appliance NetScreen di Juniper.

Il documento descrive una tecnica chiamata FEEDTROUGH, usata per mantenere due tipi di backdoor nei firewall NetScreen, anche se questi venivano riavviati o il software aggiornato.

Secondo Der Spiegel, l’NSA ha preso di mira anche altri grandi produttori di apparecchiature di networking, compresi Cisco e Huawei.

Aggiornamento 21/12/2015 ore 17:52
Ricercatori di Rapid7 hanno analizzato il sistema operativo ScreenOS e identificato la password, che è stata abilmente camuffata per essere cambiata per codice di debugging nel sorgente. La password è quindi da considerare pubblica, e ogni firewall Juniper che monti una delle versioni incriminate di ScreenOS e sia raggiungibile dall’esterno via telnet o SSH è aperto a qualsiasi intrusione.

 

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!

Andrea Grassi
Editor di Computerworld e CIO Italia Giornalista professionista, ma con una formazione tecnico-scientifica, dal 1995 ha lavorato per alcune delle più importanti testate di informatica in Italia. È stato redattore di .Net Internet Magazine, il Mio Computer e MacFormat, responsabile di redazione di Computer Magazine, PC Magazine, Hacker Jorunal, Total Computer e del portale CHIP Download. Come publisher ha curato l’edizione italiana di CHIP, PC World, Macworld e ha ideato e lanciato le riviste mensili iPad Magazine e Android Magazine. È autore dei libri Windows XP per tutti e Mac OS Tiger pubblicati da McGraw-Hill e ha tradotto svariati altri manuali di programmazione, cybersecurity e per software professionali. Dal 2015 cura per Fiera Milano Media le testate Computerworld e CIO Italia dell’editore americano IDG. Ha seguito in particolar modo l’evoluzione di Internet, dagli albori della sua diffusione di massa, analizzandone gli aspetti tecnici, economici e culturali, i software di produttività, le piattaforme web e social, la sicurezza informatica e il cybercrime. Più di recente, segue le tematiche relative alla trasformazione digitale del business e sta osservando come l’intelligenza artificiale stia spingendo ogni giorno più in là il confine della tecnologia. Puoi contattarlo via email scrivendo ad andrea.grassi@cwi.it e seguirlo su Twitter (@andreagrassi) o Linkedin.