Schnüffelcode in Juniper-Netzgeräten: Weitere Erkenntnisse und Spekulationen

Die Analysen der ScreenOS-Updates fördern vogelwilde Dinge zu Tage. So gab es zwei unabhängige Hintertüren. Die SSH-Backdoor kann dank des veröffentlichten Passworts jeder ausnutzen; die komplexere VPN-Lücke beruht wohl auf einer bekannten NSA-Backdoor.

In Pocket speichern vorlesen Druckansicht 217 Kommentare lesen
Juniper-Gate: Weitere Erkenntnisse und Spekulationen
Lesezeit: 5 Min.
Von
Inhaltsverzeichnis

Bei Analysen zum Juniper-Skandal fanden Experten des niederländischen Unternehmens FoxIT das von Hackern in den NetScreen-Code eingebaute SSH-Master-Passwort. Krypto-Fachleute stellten parallel dazu fest, dass die zugleich von Juniper offengelegte Kompromittierung von VPN-Verkehr sich wohl den löchrigen Zufallszahlengenerators für elliptische Kurven (Dual_EC_DRBG) zu Nutze machte. Wer sich jetzt jedoch darauf ausruht, sowieso keine Juniper-Geräte einzusetzen, freut sich vielleicht zu früh.

Mehr Infos

Gerade mal sechs Stunden brauchten Experten beim niederländischen Security Unternehmen FoxIT, um das dem Netscreen System ScreenOS untergejubelte Master-Passwort zu identifizieren; wenig später veröffentlichte es HD Moore von Rapid7: Mit der Zeichenkette "<<< %s(un='%s') = %u" konnten Angreifer, die einen gültigen Usernamen zur Hand hatten, die Authentifizierung umgehen und sich so Zugang zu den Netscreen-Geräten verschaffen. Bei der Wahl des Passwortes haben die Angreifer offenbar darauf gesetzt, es wie ein Fehlercode-Leiche (einen Debug Format String) im Code aussehen zu lassen. Ein Beobachter wies inzwischen darauf hin, dass eine Google-Suche nach dem Fake-Passwort Sun Zi's "Kunst des Krieges" als erste Referenz angibt.

Rund 26000 Netscreen-Geräte mit offenem SSH entdeckten Moore und seinen Kollegen bei einer Suche mit Shodan. Allerdings fand Moore die SSH-Hintertür nicht in allen von Juniper genannten Versionen; sie tauchte erst in den ab Ende 2013 veröffentlichten Firmware-Images auf (6.3.0r15, 6.3.0r16, 6.3.0r17). Das legt nahe, dass dieser Eingriff anders als der Angriff auf den VPN-Verkehr frühestens 2013 vorgenommen wurde.

Die SSH-Lücke ist sehr einfach auszunutzen. Nicht gepatchte Geräte sind jetzt praktisch für jeden ausreichend technisch versierten Angreifer offen. Wer tatsächlich via SSH angegriffen wurde, kann, sofern er zentrale Logs außerhalb der kompromittierten Hardware speichert, noch Spuren der Hintertür-Logins finden:

2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from ….. 
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user ‘username2’ at host …

Parallel zerbrachen sich zahlreiche Kryptoexperten die Köpfe über den komplizierteren Angriff auf den VPN-Verkehr. Nach einer regen Debatte über Twitter fasste Googles Kryptoexperte die unter anderem von Matthew Green von der Johns Hopkins Universität und Comsecuris-Gründer Ralf Philipp Weinmann beigetragenen Einsichten in einem Blogpost zusammen. Das Ergebnis: Der Angreifer hat sich durch den Einbau eines neuen Schlosses in eine bereits vorhandene Hintertür Zugang zu den eigentlich geschützten VPN-Daten verschafft.

Voraussetzung dafür war, dass Juniper den von der NSA schon im Standardisierungsprozess kompromittierten Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) verwendete. Zähneknirschend hatte die US Standardisierungsorganisation National Institute for Standardization and Technology vor eineinhalb Jahren einräumen müssen, der NSA mit der nicht mehr ganz zufälligen Zufallszahlenerzeugung entgegengekommen zu sein.

Juniper hatte für die NetScreen-Software ScreenOS zwar die ursprünglich von NIST vorgegebenen Werte ersetzt, um sie abzusichern. Doch diesen Prozess wiederholte der Angreifer anscheinend einfach noch einmal. Sollte sich diese Hypothese bestätigen, hat der Angreifer das von Juniper ersetzte Schloss an der Hintertür einfach durch ein neues ersetzt, bilanziert Langley trocken. Damit habe die Kompromittierung des Dual_EC_DRBG für den ersten Schwachpunkt gesorgt, egal, ob der neuerliche Angriff auf die Kappe der NSA gehe oder nicht.

Wer tatsächlich hinter den beiden Angriffen steckt, darüber wird parallel zu den technischen Aufräumarbeiten weiter viel spekuliert. Die Attacke auf die NetScreen-VPNs fallen in die Kategorie "Nobody but Us", bei dem die Angreifer spezielle Vorkehrungen treffen, damit niemand anders die künstliche Schwachstelle ausnutzen kann. Gleichzeitig erlaubt dieser Bug auch die retrospektive Entschlüsselung des gespeicherten Datenverkehrs.

Zusammen gefasst: Juniper hatte die NSA-Hintertür verbaut – zur Sicherheit aber dann das Schloss ausgewechselt. Dann hat wie es aussieht jemand – vielleicht die NSA oder auch ein anderer Geheimdienst – sein Schloss eingebaut. So viel zu "sicheren Hintertüren". Wer das dritte Schloss verbaut hat, ist immer noch unklar. Einen Fingerzeig in Richtung des britischen Geheimdienstes GCHQ lieferte Federic Jacobs, im Hauptberuf Entwicker bei OpenWhisper. Der Belgacom-Einbruch, hinter dem GCHQ vermutet wird, so sein Twitter-Verweis, beruhe auf einem Einbruch ins Belgacom-VPN auf Basis von Juniper-Geräten.

Für Juniper gab es übrigens trotz des Skandals und des seit den Veröffentlichungen durch gehaltenen eisernen Schweigens positive Kommentare. Die Offenlegung anstelle eines unter den Tisch gekehrten Patchs hat immerhin die jetzigen Nachforschungen ermöglicht. Die spannende Frage, so die Experten, lautet längst, wo überall noch solche Hintertüren lauern. Wer sich jetzt in Sicherheit wiegt, weil er nur Systeme der Konkurrenz wie die von Cisco einsetzt, wiegt sich in trügerischer Sicherheit. Edward Snowden bringt das bei Twitter auf den Punkt: "Juniper hat Hintertüren in seiner Software geschlossen, die von Cisco stehen noch sperrangelweit offen." (ju)