Afgelopen donderdag kwam Juniper in de openbaarheid met de melding dat er ongeautoriseerde code was gevonden in ScreenOS. ScreenOS is de software die Juniper met de overname van NetScreen in 2004 in eigendom kreeg en op de firewalls draait. De malafide code is een potentieel gevaar voor het hele systeem en kan vpn-tunnels termineren en decoderen, zonder een spoor van de inbraak achter te laten. Een ervaren aanvaller zou waarschijnlijk deze vermeldingen verwijderen uit de lokale logbestanden, dus effectief elimineren van alle aanwijzingen van compromittatie.
Juniper zei dat ze ook nog een tweede beveiligingsprobleem hadden gevonden waarmee een aanvaller de controle over vpn-verkeer (encrypte (tunnel) communicatie over een netwerk) zou kunnen krijgen en het verkeer te kunnen decoderen.
Patches vrijgegeven
Juniper heeft meteen patches vrijgegeven voor beide security issues, en zei dat ze niet hadden ontdekt dat deze kwetsbaarheden werden uitgebuit. (JaJa...vraagteken, even aan Oscar vragen) Met het vrijgeven van deze patches is er ook informatie beschikbaar gekomen over de kwetsbaarheden wat weer nieuwe kwetsbaarheden met zich mee kan brengen.
Van oorsprong is Juniper de fabrikant die achttien jaar geleden de aanval opende op Cisco, de marktleider op routergebied. Juniper routers zijn inmiddels overal te vinden, van grote datacenters tot bij de kleinste winkelier achter de toonbank. Met de overname van NetScreen in 2004 kreeg Juniper een hard groeiende security speler op het gebied van firewalls/vpn-concentrators in handen waardoor ze ook in de securitymarkt de concurrentie konden aangaan met de leading security fabrikanten Cisco (ASA) en CheckPoint .
De allergrootste fout die ze daarbij maakten was dat ze de NetScreen managementsoftware in hun toenmalige JunOS wilden stoppen. Ook de NetScreen-hardware moest 'omgekat' worden naar de nieuwe 'vlaggeschip' familie SRX. Dit heeft veel teleurstelling bij gebruikers gegeven omdat veel van de functionaliteiten van NetScreen niet meer aangesproken konden worden vanuit JunOS. Met ScreenOS werd dit vervolgens weer opgelost.
Juniper is een American based Vendor en is verplicht om de Amerikaanse Overheid toegang te geven tot het versleutelde verkeer wat over Juniper netwerken wordt geïnitieerd, dit gebeurt met een 'backdoor' waar de overheid de sleutel van heeft. Zo'n backdoor introduceert meteen een potentiële kwetsbaarheid voor het product, hackers kunnen hier een poging wagen binnen te komen, wat nu bij Juniper is gelukt.
Zorgen maken
Moet de BV Nederland zich zorgen maken over deze geconstateerde kwetsbaarheid? Volmondig JA. Nederlandse overheden en operators die de Nederlandse overheid voorzien van connectivity (netwerken) maken veelvuldig gebruik van apparatuur van Juniper zoals vpn-concentrators (SA-series), routers met vpn-mogelijkheden (SRX-series) en zijn dus ook blootgesteld (geweest) aan deze kwetsbaarheid. Op verschillende plaatsen binnen de Nederlandse overheid gaat hier zeer gevoelige data overheen die met deze vpn-software wordt gecrypt, eigenlijk zou hier DepV of confidentieel goedgekeurde apparatuur voor ingezet moeten worden. Waarom dat niet gebeurt? Kwestie van investering en budget, een (overheids)ciso vertelde mij eens: 'Moet ik die verbinding encrypten? Nou, dan zet ik toch gewoon vpn aan op de Cisco of Juniper router!"'
Wat zong Boudewijn de Groot ook alweer in 1966? 'Meneer de president, slaap zacht.'
Reacties
Ralf-Philipp Weinmann spreekt vermoeden uit dat NSA aan de basis heeft gestaan van deze "backdoor".
In zijn blog die hij gisteren publiceerde legt hij uit wat er aan de hand is. (pas op: technisch verhaal)
http://rpw.sh/blog/2015/12/21/the-backdoored-backdoor