Juniper Networks, tra I principali fornitori di apparati di networking e sicurezza corporate, ha affermato martedì di aver trovato due backdoor inserite nel codice di alcuni modelli sei suoi firewall, una scoperta allarmante che può essere collegata alle attività di spionaggio condotte da governi, evidenziate anche dalle rivelazioni di Edward Snowden.
I prodotti colpiti sono quelli basati su ScreenOS, il sistema operativo di Juniper utilizzato su firewall e dispositivi per VPN. Le versioni di ScreenOS vulnerabili sono quelle che vanno dalla 2.0r15 alla 6.2.0r18 e dalla 6.3.0r12 alla 6.3.0r20, secondo il report di sicurezza emesso dall’azienda.
Il codice non autorizzato è stato trovato durante un audit del codice interno, ha scritto Bob Worrall, Chief Information Officer di Juniper, senza però rilasciare ipotesi sull’origine di quelle porzioni di codice.
L’azienda ha già rilasciato patch critiche per risolvere il problema.
Worrel ha dichiarato che “in questo momento non abbiamo ricevuto alcuna segnalazione del fatto che queste vulnerabilità siano state effettivamente sfruttate”. Va detto però che, considerato il fatto che la backdoor consente di accedere ai firwall con credenziali da amministratore, è perfettamente possibile che alcune violazioni siano state effettivamente portate a termine, e l’attaccante abbia in seguito cancellato le sue tracce dai file di log.
Per più di tre anni, aziende in tutto il mondo sono rimaste aperte a intrusioni dall’esterno
In effetti, Juniper ha affermato che “non c’è modo di rilevare se la vulnerabilità sia stata effettivamente sfruttata”. Considerando che secondo la documentazione la prima versione di ScreenOS colpita, la 6.2.0r15, è stata rilasciata a settembre 2012, c’è un lasso di tempo di più di tre anni in cui le reti di aziende in tutto il mondo possono essere rimaste esposte a infiltrazioni esterne.
I firewall sono un bersaglio pregiato per un attaccante, criminale o governativo che sia, perché rappresentano la linea di difesa principale verso l’esterno e controllano tutto il traffico di rete dell’azienda.
La revisione interna del codice ha evidenziato due falle. La prima può appunto permettere l’accesso remoto come amministratore via telnet o SSH.
La seconda può consentire a un attaccante in grado di monitorare il traffico di una VPN di decifrare il contenuto dei pacchetti.
L’alterazione del software di un’azienda così importante con codice specificamente progettato per spiare non può che far tornare in mente le rivelazioni sulle operazioni clandestine dell’NSA, descritte nei documenti diffusi al pubblico nel 2013 da Edward Snowden.
Un articolo del dicembre 2013 sulla testata tedesca Der Spiegel elencava un catalogo di 50 pagine contente prodotti hardware e software usati dall’NSA per infiltrarsi in computer e apparecchiature. Uno di questi aveva come bersaglio le appliance NetScreen di Juniper.
Il documento descrive una tecnica chiamata FEEDTROUGH, usata per mantenere due tipi di backdoor nei firewall NetScreen, anche se questi venivano riavviati o il software aggiornato.
Secondo Der Spiegel, l’NSA ha preso di mira anche altri grandi produttori di apparecchiature di networking, compresi Cisco e Huawei.
Aggiornamento 21/12/2015 ore 17:52
Ricercatori di Rapid7 hanno analizzato il sistema operativo ScreenOS e identificato la password, che è stata abilmente camuffata per essere cambiata per codice di debugging nel sorgente. La password è quindi da considerare pubblica, e ogni firewall Juniper che monti una delle versioni incriminate di ScreenOS e sia raggiungibile dall’esterno via telnet o SSH è aperto a qualsiasi intrusione.
