Firewally Juniper obsahují dvoje zadní vrátka, bezpečnostní hrozby
24.12.2015, Milan Šurkala, aktualita
Některé firewally NetScreen od společnosti Juniper mají velký problém. Našly se tu totiž rovnou dvoje zadní vrátka dovolující převzít kontrolu nad zařízením a monitorovat šifrovanou VPN komunikaci kvůli hacknutým algoritmům.
Společnost Juniper varovala své zákazníky, neboť řada firewallů NetScreen z let 2012 až 2013 obsahuje ve svém firmwaru ScreenOS rovnou dvoje zadní vrátka (backdoor) dovolující útočníkům získat přístup k firewallu nebo monitorovat VPN komunikaci. První chyba dostala označení CVE-2015-7755 a jde o natvrdo zakódované heslo k administrátorskému účtu. Údajně stačí při připojení přes SSH nebo Telnet napsat jakékoli přihlašovací jméno a univerzální heslo, které zajistí kompletní přístup k firewallu. Jak se toto heslo dostalo do kódu, nikdo neví. Heslo je velmi snadno přehlédnutelné, protože vypadá jako programový kód.
Druhá chyba CVE-2015-7756 je podstatně složitější i jednodušší zároveň. Jde o to, že k šifrování VPN komunikace se používá algoritmus tvorby náhodných čísel Dual_EC_DRBG, který byl už dávno označen za nebezpečný. Závisí na dvou parametrech P a Q, přičemž firewally Juniper byly zranitelné jen v tom, že někdo nahradil 32bytovou hodnotu Q za svou vlastní. Až výstup tohoto algoritmu jde do dalšího generátoru ANSI X9.17, který by měl být bezpečný. Pokud se ale podaří odchytit výstupy z nebezpečného generátoru, dají se odhadovat další výstupy a dešifrovat VPN komunikaci.
Jen připomeňme, že dle dat Edwarda Snowdena NSA podporovala tento algoritmus, protože o bezpečnostní chybě (resp. nedostatečnosti) věděla a měla se zasadit o jeho používání. To by NSA umožnilo snáze rozšifrovat VPN komunikaci, jde o tzv. slabou šifru.
Zdroj: theregister.co.uk, arstechnica.com, rapid7.com
Druhá chyba CVE-2015-7756 je podstatně složitější i jednodušší zároveň. Jde o to, že k šifrování VPN komunikace se používá algoritmus tvorby náhodných čísel Dual_EC_DRBG, který byl už dávno označen za nebezpečný. Závisí na dvou parametrech P a Q, přičemž firewally Juniper byly zranitelné jen v tom, že někdo nahradil 32bytovou hodnotu Q za svou vlastní. Až výstup tohoto algoritmu jde do dalšího generátoru ANSI X9.17, který by měl být bezpečný. Pokud se ale podaří odchytit výstupy z nebezpečného generátoru, dají se odhadovat další výstupy a dešifrovat VPN komunikaci.
Jen připomeňme, že dle dat Edwarda Snowdena NSA podporovala tento algoritmus, protože o bezpečnostní chybě (resp. nedostatečnosti) věděla a měla se zasadit o jeho používání. To by NSA umožnilo snáze rozšifrovat VPN komunikaci, jde o tzv. slabou šifru.
Zdroj: theregister.co.uk, arstechnica.com, rapid7.com
