Dettagli sulle backdoor nei firewall Juniper

Stanno emergendo maggiori dettagli sulle vulnerabilità dei firewall di Juniper dei quali abbiamo parlato su The Server-Side Technology qualche mese fa. Sebbene non vi siano dichiarazioni ufficiali, le speculazioni che le vulnerabilità siano opera della famigerata NSA sono ovviamente abbastanza automatiche e sebbene Juniper esclusa qualsiasi responsabilità diretta, permangono dubbi molto forti come le backdoor possano essere state inserite nel codice di ScreenOS senza alcuna complicità da parte dell’azienda. Il problema, infatti, è legato anche a soprattutto a questa circostanza: non si tratta solo di vulnerabilità del codice, una cosa che capita a tutti i sistemi, ma modifiche specificamente introdotte nel codice di ScreenOS, il sistema operativo che viene usato dai firewall NetScreen di Juniper, per rendere possibile la violazione.

La prima vulnerabilità, a cui è stato assegnato codice CVE-2015-7755, consente ad un utente di ottenere l’accesso amministrativo usando una sessione SSH o TELNET ed inserendo una qualsiasi username insieme con una password specifica che è codificata all’interno del sistema operativo del firewall. E’ questa la vulnerabilità, che in sostanza è una backdoor, che più fa insospettire gli esperti perché significa avere avuto accesso alla linea di produzione del codice ed avere inserito questo caso specifico, qualcosa di molto difficile senza la collaborazione dell’azienda sebbene anche la modifica non autorizzata sia possibile. Questa vulnerabilità colpisce le revisioni 6.3.0r17, 6.3.0r18, 6.3.0r19 e 6.3.0r20 di ScreenOS e Juniper raccomanda a tutti i clienti di installare la patch che è stata rilasciata per correggere il problema. Sono state anche rilasciate indicazioni su come rilevare questi accessi non autorizzati attraverso i log e Fox-IT ha creato una serie di regole per Snort che possono rilevare gli accessi non autorizzati. Oltre a questo e stante la promessa di Juniper di effettuare una rigorosa investigazione per capire come sia stato possibile non rilevare il problema, non sono state fornite altre indicazioni dall’azienda.

Un algoritmo di crittografia è invece alla base della seconda vulnerabilità, CVE-2016-7756, che consente l’intercettazione del traffico anche quando criptato. Il problema risiede in Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) un algoritmo non più ritenuto sicuro e che anzi si sospetta essere stato elaborato in collaborazione con la NSA in modo che quest’ultima potesse usare la sua vulnerabilità per operazioni di sorveglianza. L’algoritmo è responsabile della generazione di numeri casuali usati poi nella crittografia dei dati ed il problema risiede nella possibilità, in determinate circostanze, di prevedere tali numeri che non sarebbero quindi più casuali. Con questa informazioni a disposizione, un utente può procedere alla decodifica dei dati in teoria cifrati. Il NIST ha già raccomandato sin da Luglio 2015 ai produttori di software di non usare più Dual_EC_DRBG nei loro prodotti ma ScreenOS ancora oggi continua ad usarlo per le comunicazioni sicure con i client.

Juniper ha già annunciato di non avere corretto il problema perché ScreenOS usa l’algoritmo in un modo differente e non sarebbe quindi soggetto alla vulnerabilità. Una analisi dettagliata condotta da Ralf-Phillip Weinmann ed altri ha tuttavia rilevato come, sebbene Juniper non usi l’algoritmo in modo standard, un bug nell’implementazione proprietaria consente comunque l’uso della vulnerabilità in un eventuale attacco. Chi ha modificato il codice di ScreenOS, infatti, non ha riscritto l’algoritmo ma ha solo modificato alcuni dei parametri di cifratura.

Ad ogni modo, Juniper ha già annunciato che sostituirà Dual_EC_DRBG nelle prossime versioni di ScreenOS 6.3 per “migliorare la robustezza del sottosistema di generazione dei numeri casuali”.