Kryptobakdörr i Juniper Netscreen

Företaget Juniper som tillverkar Netscreen-brandväggen går ut med ett meddelande, att under en intern granskning så har två bakdörrar identifierats som kan medge att en antagonist kan ta del av krypterad VPN-trafik.

Bakdörrarna består av två olika delar, en som medger fjärrinloggning över telnet eller SSH. Och den andra går att nyttja lokalt på enheten när väl inloggningen har genomförts.

Det går att upptäcka försök till nyttjande av bakdörren på följande sätt:

Loggfil vid normal inloggning för username1:
2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from …..
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user ‘username1’ at host …

Inloggning med hjälp av fjärr-bakdörr och användare username2:
2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from …..
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user ‘username2’ at host …

Så förhoppningsvis så använder Er organisation fjärrloggning i NetscreenOS. Juniper meddelar att den andra bakdörren som gör att antagonisten kan läsa av krypterad VPN-trafik inte går att upptäcka om den nyttjas eller ej.

Bakdörrarna har legat i ScreenOS sedan 2012 och men kan även ha planterats tidigare.

Hur bakdörren har hamnat där kan man alltid fråga sig, men troliga scenarion är följande:

• Betald utvecklare som planterat bakdörren
• Angripare som fått kontroll till utvecklarklient

Följande versioner av ScreenOS innehåller dessa två bakdörrar, dvs Junos eller SRX är ej drabbade.

• ScreenOS 6.2.0r15 till 6.2.0r18 samt 6.3.0r12 till 6.3.0r20

Källa: Juniper

Uppdatering: Genom diff av klartext i patchar så tas följande sträng bort och ändras samt extra kontroller införs i VPN-koden. Oklart dock om detta är relaterat till bakdörren:

Tas bort: 2c55e5e45edf713dc43475effe8813a60326a64d9ba3d2e39cb639b0f3b0ad10
Ersätts med: 9585320EEAF81044F20D55030A035B11BECE81C785E6C933E4A8A131F6578107