Abo
  • Services:
Anzeige
In Juniper-Firewalls wurden Hintertüren gefunden - die Details geben weitere Rätsel auf.
In Juniper-Firewalls wurden Hintertüren gefunden - die Details geben weitere Rätsel auf. (Bild: LPS.1 / Wikimedia Commons/CC-BY-SA 3.0)

Dual EC DRBG: Die Hintertüren in Juniper-Firewalls

In Juniper-Firewalls wurden Hintertüren gefunden - die Details geben weitere Rätsel auf.
In Juniper-Firewalls wurden Hintertüren gefunden - die Details geben weitere Rätsel auf. (Bild: LPS.1 / Wikimedia Commons/CC-BY-SA 3.0)

Eine der in Juniper-Firewalls gefundenen Hintertüren nutzt offenbar einen Zufallszahlengenerator, der mutmaßlich von der NSA kompromittiert ist. Bei der Analyse der Änderungen gibt es Hinweise, dass hier mehrere Akteure am Werk waren - und dass die Hintertür gar nicht wirklich geschlossen worden ist.

Die Details zu den Hintertüren in den Juniper-Firewalls werfen weitere Fragen auf: Insbesondere ist im Moment unklar, ob sie mit dem von dem Unternehmen bereitgestellten Update überhaupt geschlossen worden sind. Letzte Woche hatte Juniper viel Aufsehen mit der Mitteilung erregt, dass bei einer internen Analyse des Codes von ScreenOS zwei mutmaßliche Hintertüren gefunden wurden. ScreenOS ist ein auf älteren Juniper-Firewalls eingesetztes Betriebssystem. Bei der einen Hintertür handelt es sich um ein fest eingestelltes SSH-Passwort. Die andere nutzt den Zufallszahlengenerator Dual EC DRBG, der vermutlich von der NSA stammt.

Anzeige

ScreenOS ist ein proprietäres Betriebssystem, welches in den Geräten der Netscreen-Serie von Juniper zum Einsatz kommt. Die Firma Netscreen wurde 2004 von Juniper übernommen. Nicht betroffen sind andere Firewall-Produkte von Juniper, die das System Junos OS verwenden.

Passwort "<<< %s(un='%s') = %u"

Das Advisory von Juniper erwähnt zwei Sicherheitslücken, die mit den IDs CVE-2015-7755 und CVE-2015-7756 bezeichnet werden. Bei CVE-2015-7755 handelt es sich um ein fest eingestelltes Passwort, mit dem man über SSH oder Telnet eine Shell mit vollen Zugriffsrechten auf das betroffene System erhalten kann. Bereits nach wenigen Stunden gelang es Mitarbeitern der Firma Fox-IT, das Passwort aus den Firmware-Images von Juniper zu extrahieren.

Fox-IT machte das Passwort jedoch nicht öffentlich, das tat einige Zeit später H. D. Moore von der Firma Rapid7. In einem Blogeintrag erläuterte Moore, wie er das Firmware-Image von Juniper mittels des Debuggers IDA Pro analysiert habe. Das ungewöhnliche Passwort lautet "<<< %s(un='%s') = %u". Es sieht aus wie ein Formatierungshinweis für C-Funktionen wie printf(), dadurch erhoffte sich offenbar derjenige, der die Hintertüre platzierte, dass das festeingestellte Passwort nicht so leicht auffallen würde. Der Benutzername für das Login kann beliebig gewählt werden.

Laut Moore findet man mit der Suchmaschine Shodan circa 24.000 ans Internet angeschlossene Netscreen-Geräte, die von der Lücke potentiell betroffen sind. Wie viele davon bereits aktualisiert wurden, lässt sich jedoch dabei nicht erkennen. Da diese Lücke durch das nun öffentlich bekannte Passwort trivial auszunutzen ist, muss jeder, der sein Gerät bislang nicht aktualisiert hat, davon ausgehen, dass es bereits kompromittiert wurde.

Diese SSH- und Telnet-Hintertür befindet sich offenbar nur in den Versionen 6.3.0r17 bis 6.3.0r20, behoben wurde sie in der Version 6.3.0r21. Die ältere Version 6.2.0 ist von dieser Lücke nicht betroffen. Es handelt sich ohne Zweifel um eine drastische Sicherheitslücke - doch zumindest ist relativ klar, worum es sich handelt, und ein Update dürfte das Problem vollständig beseitigen. Weit mehr Rätsel gibt jedoch die zweite von Juniper erwähnte Lücke auf.

Dual EC DRBG - der Zufallszahlengenerator mit Hintertür 

eye home zur Startseite
t0ncul 23. Dez 2015

Wir haben SSH Zugang aus dem Internet auf die Firewall ausdrücklich nicht zugelassen. Ist...

Rulf 23. Dez 2015

heißt hier nur: wurde noch nicht aufgedeckt... für alle die nicht zwischen den zeilen...

AllAgainstAds 22. Dez 2015

Und genau das ist es, was die meisten befürchten. Wer auch immer den Quellcode da...

tf (Golem.de) 22. Dez 2015

Hallo M.P., stimmt natürlich, vielen Dank für den Hinweis.



Anzeige

Stellenmarkt
  1. FactSet Digital Solutions GmbH, Frankfurt
  2. ASC Automotive Solution Center AG, Düsseldorf
  3. CompuGroup Medical SE, Koblenz
  4. NetApp Deutschland GmbH, Kirchheim bei München


Anzeige
Top-Angebote
  1. (u. a. Metal Gear Solid V 23,99€, Total War Warhammer II 15,74€, Project Cars 2 35,99€)
  2. 56,90€ statt 69,90€
  3. 184,90€ statt 199,90€

Folgen Sie uns
       


  1. Mavic Air

    DJI präsentiert neuen Falt-Copter

  2. Apple

    Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  3. 860 Evo und 860 Pro

    Samsungs SSDs sind flotter und sparsamer

  4. Mozilla

    Firefox Quantum wird mit Version 58 noch schneller

  5. TV-Kabelnetz

    Vodafone Kabelnetztrasse in Rheinland-Pfalz zerstört

  6. Hetzner Cloud

    Cloud-Ressourcen für wenig Geld aber mit Zusatzkosten mieten

  7. Fake News

    Murdoch fordert von Facebook Sendegebühr für Medien

  8. Diewithme

    Zusammen im Chat den Akkutod sterben

  9. Soziales Netzwerk

    Facebook sorgt sich um seine Auswirkungen auf die Demokratie

  10. Telefónica

    5G-Test für TV-Übertragung im Bayerischen Oberland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. EU-Netzpolitik Mit vollen Hosen in die App-ocalypse
  2. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  3. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

  1. Re: TAB Groups

    storm | 17:13

  2. Re: Preis

    DaObst | 17:12

  3. Re: nur für ältere Kisten und RAIDs ?

    Bigfoo29 | 17:12

  4. Re: Mit oder ohne Spectre und Meltdown patch?

    Mr Miyagi | 17:09

  5. Re: SJW müssen mal wieder den Spaß aus allem...

    aguentsch | 17:05


  1. 17:14

  2. 16:14

  3. 16:00

  4. 15:58

  5. 15:35

  6. 15:26

  7. 14:55

  8. 14:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel