Juniper findet keine weiteren Hintertüren in seiner Firmware
Im Dezember meldete das Unternehmen eine Backdoor in ScreenOS, der Firmware der mit der Übernahme des gleichnamigen Unternehmens zu Juniper gekommenen Firewall-Reihe Netscreen. Nun wird der problematische Code durch die bei der Router-Firmware JunoOS verwendeten Komponenten ersetzt.
Juniper hat das Ergebnis einer im Dezember begonnenen Überprüfung des Quellcodes seiner Router-Firmware JunoOS und seiner Firewall-Firmware ScreenOS bekannt gegeben. Demnach wurde außer den bereits im Dezember eingeräumten beiden Problemen in ScreenOS (CVE-2015-7755 und CVE-2015-7756) kein weiterer fremder oder gefährlicher Code entdeckt.
Wie aus Dokumenten aus dem Fundus von Edward Snowden hervorgeht, wurden von NSA beziehungswiese GCHQ in Juniper-Software entweder Hintertüren platziert oder zumindest entdeckt und nicht dem Hersteller gemeldet. Um die im Dezember von Juniper Networks eingeräumten und nun aus Sicherheitslücken klassifizierten Komponenten kann es sich dabei allerdings nicht gehandelt haben, da deren Code überwiegend von 2012 stammt.
Möglicherweise hatte der Hersteller die von den Geheimdiensten identifizierte Schwachstelle aber schon vorher “unabsichtlich” behoben. Das Dokument fordert nämlich die Geheimdienste auf, weiter gegen Juniper zu arbeiten. “Die Bedrohung besteht darin, dass Juniper sich darauf konzentriert und investiert, führende Sicherheit anzubieten. Wenn die Signalaufklärung zurückfällt, könnte es Jahre dauern, um wieder Zugriff auf eine Juniper-Firewall oder einen Router zu bekommen, falls Juniper seine Sicherheit mit gleichbleibender Geschwindigkeit weiterentwickelt.”
Die im Dezember beseitigten Hintertüren betreffen die ScreenOS-Versionen 6.2.0r15 bis 6.2.0r18 sowie 6.3.0r12 bis 6.3.0r20. Sie kommen auf Junipers Firewall- und VPN-Appliances der Produktreihe Netscreen zum Einsatz. Die gehört seit der Übernahme des gleichnamigen Unternehmens im Jahr 2004 zu Juniper. Netscreen wurde im Wesentlichen von ehemaligen Mitarbeitern der israelischen Firma Check Point aufgebaut. Seit der Übernahme durch Juniper konzentriert sich das Geschäft auf große Firmen mit hohen Sicherheitsanforderungen – die naturgemäß auch viele für Geheimdienste interessante Informationen schützen wollen.
Geräte mit Junipers schon vor der Übernahme von Netscreen entwickeltem Junos OS weisen die Schwachstellen nicht auf. In ScreenOS sollen die fehlerhaften Komponenten (Dual_EC und ANSI X9.31) nun durch die entsprechenden aus JunOS ersetzt werden. Diese Änderung soll in einem kommenden Release von ScreenOS vorgenommen werden. Das soll laut Juniper in der ersten Hälfte des Jahres 2016 verfügbar werden.
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.