Dual EC DRBG: Die Hintertüren in Juniper-Firewalls

Die Details zu den Hintertüren in den Juniper-Firewalls werfen weitere Fragen auf: Insbesondere ist im Moment unklar, ob sie mit dem von dem Unternehmen bereitgestellten Update überhaupt geschlossen worden sind. Letzte Woche hatte Juniper viel Aufsehen mit der Mitteilung erregt, dass bei einer internen Analyse des Codes von ScreenOS zwei mutmaßliche Hintertüren gefunden wurden. ScreenOS ist ein auf älteren Juniper-Firewalls eingesetztes Betriebssystem. Bei der einen Hintertür handelt es sich um ein fest eingestelltes SSH-Passwort. Die andere nutzt den Zufallszahlengenerator Dual EC DRBG, der vermutlich von der NSA stammt.

ScreenOS ist ein proprietäres Betriebssystem, welches in den Geräten der Netscreen-Serie von Juniper zum Einsatz kommt. Die Firma Netscreen wurde 2004 von Juniper übernommen. Nicht betroffen sind andere Firewall-Produkte von Juniper, die das System Junos OS verwenden.

Passwort "<<< %s(un='%s') = %u"

Das Advisory von Juniper erwähnt zwei Sicherheitslücken, die mit den IDs CVE-2015-7755 und CVE-2015-7756 bezeichnet werden. Bei CVE-2015-7755 handelt es sich um ein fest eingestelltes Passwort, mit dem man über SSH oder Telnet eine Shell mit vollen Zugriffsrechten auf das betroffene System erhalten kann. Bereits nach wenigen Stunden gelang es Mitarbeitern der Firma Fox-IT, das Passwort aus den Firmware-Images von Juniper zu extrahieren.

Fox-IT machte das Passwort jedoch nicht öffentlich, das tat einige Zeit später H. D. Moore von der Firma Rapid7. In einem Blogeintrag erläuterte Moore, wie er das Firmware-Image von Juniper mittels des Debuggers IDA Pro analysiert habe. Das ungewöhnliche Passwort lautet "<<< %s(un='%s') = %u". Es sieht aus wie ein Formatierungshinweis für C-Funktionen wie printf(), dadurch erhoffte sich offenbar derjenige, der die Hintertüre platzierte, dass das festeingestellte Passwort nicht so leicht auffallen würde. Der Benutzername für das Login kann beliebig gewählt werden.

Laut Moore findet man mit der Suchmaschine Shodan circa 24.000 ans Internet angeschlossene Netscreen-Geräte, die von der Lücke potentiell betroffen sind. Wie viele davon bereits aktualisiert wurden, lässt sich jedoch dabei nicht erkennen. Da diese Lücke durch das nun öffentlich bekannte Passwort trivial auszunutzen ist, muss jeder, der sein Gerät bislang nicht aktualisiert hat, davon ausgehen, dass es bereits kompromittiert wurde.

Diese SSH- und Telnet-Hintertür befindet sich offenbar nur in den Versionen 6.3.0r17 bis 6.3.0r20, behoben wurde sie in der Version 6.3.0r21. Die ältere Version 6.2.0 ist von dieser Lücke nicht betroffen. Es handelt sich ohne Zweifel um eine drastische Sicherheitslücke - doch zumindest ist relativ klar, worum es sich handelt, und ein Update dürfte das Problem vollständig beseitigen. Weit mehr Rätsel gibt jedoch die zweite von Juniper erwähnte Lücke auf.