c't 2/2016
S. 19
News
Sicherheit

Juniper findet Hintertüren im eigenen Betriebssystem

Juniper-Firewalls der NetScreen-Serie stellen oft VPN-Verbindungen in Firmen-Netze her. Bild: Juniper

Der Netzausrüster Juniper hat gleich zwei Hintertüren in seinem Betriebssystem ScreenOS für die Firewalls und VPN-Systeme der NetScreen-Serie gefunden. Bei einer internen Überprüfung des Quellcodes seien „nicht autorisierte“ Funktionen gefunden worden, so Juniper. Krypto-Experten gehen davon aus, dass es sich um zu Spionage-Zwecken in den Code geschmuggelte Hintertüren handelt.

Eine der Lücken in ScreenOS erlaubt es, den VPN-Verkehr zu entschlüsseln – auch im Nachhinein. Die Basis dafür bildet der von der NSA schon im Standardisierungsprozess kompromittierten Zufallszahlengenerator Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG). Zwar hatte Juniper die Parameter des Algorithmus verändert, um einen Missbrauch der Hintertür zu verhindern. Dann hatten allerdings Unbekannte diese Parameter wieder abgewandelt. Mit anderen Worten: Juniper hat sozusagen das Schloss in der NSA-Hintertür ausgewechselt. Die jetzt entdeckten Modifikationen deuten darauf hin, dass jemand das Schloss noch einmal gewechselt hat.

Die zweite Lücke umgeht die Anmeldung des SSH-Dienstes auf den Gateways mit der Zeichenkette <<< %s(un=’%s’) = %u. Ein Angreifer, der dieses magische Passwort kennt, bekommt Admin-Zugang auf ungepatchte Juniper-Geräte und kann auf diesem Wege ebenfalls VPN-Traffic entschlüsseln.

Juniper hat Updates bereitgestellt und rät Admins dringend dazu, diese einzuspielen, da der SSH-Dienst sperrangelweit offen steht. Betroffen sind die ScreenOS-Versionen 6.2.0r15 bis 6.2.0r18 sowie 6.3.0r12 bis 6.3.0r20. Die Firma teilt mit, man habe eine Untersuchung des Vorgangs eingeleitet, wisse aber momentan nicht, woher der Schadcode stammt und wie er in die ScreenOS-Software gelangen konnte. Die Betriebssysteme SRX und Junos seien nach gegenwärtigem Kenntnisstand nicht betroffen. (fab@ct.de)

Sie wollen wissen, wie es weitergeht?

28 Mal Backspace: Linux-Bootloader Grub löchrig

Man kann die Passwort-Abfrage des Linux-Bootloaders Grub umgehen, indem man statt den Nutzernamen einzugeben 28 Mal die Backspace-Taste und dann Return drückt. So erhält ein potenzieller Angreifer eine Rescue-Shell und kann einen eigenen Kernel booten – zum Beispiel von einem USB-Stick. Der Angriff missbraucht zwei Speicherverwaltungsprobleme im Bootloader bei der Prüfung des vom Benutzer eingegebenen Nutzernamens. Da so früh im Boot-Prozess eine Reihe von Schutzfunktionen wie Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) noch nicht funktionieren, kann der Angreifer den Speicherinhalt so manipulieren, dass er in der Rescue Shell landet.

Die Sicherheitslücke war sechs Jahre lang unentdeckt geblieben und ist in allen Grub-Versionen seit 1.98 vorhanden. Die Entwickler haben sie im Entwicklungszweig der Software geschlossen und viele Linux-Distributionen haben diese Änderungen bereits übernommen. Da die meisten Desktop-Linuxe über Grub booten, sind eine sehr große Anzahl von Rechnern betroffen. Allerdings nutzen nicht viele Nutzer die Passwort-Absicherung des Bootloaders. Diese kann etwa das Bootauswahl-Menü vor Manipulationen schützen und ist vor allem für Kiosk-Systeme von Bedeutung. (fab@ct.de)

Sie wollen wissen, wie es weitergeht?

Schwere Sicherheitslücke in FireEye-Appliances

Die Sicherheits-Appliances der Serien AX, EX, FX und NX des Herstellers FireEye können mit einer einzigen E-Mail gekapert werden, wie Googles Security-Veteran Tavis Ormandy dokumentiert. Da die Geräte in der Regel an neuralgischen Punkten im internen Netz von Firmen zu finden sind und die Aufgabe haben, vorbeifliegenden Traffic auf gefährlichen Code zu untersuchen, reicht es unter Umständen, wenn ein Angreifer eine präparierte Mail an die Firma schickt. Schadcode in einem angehängten Java-Archiv wird entpackt und dann beim Scan zur Ausführung gebracht. Kann ein Angreifer einen Nutzer aus dem internen Netz dazu verleiten, auf einen Link zu einer solchen Datei zu klicken, übernimmt der Angreifer ebenfalls die volle Kontrolle über das FireEye-Gateway.

Eine gehackte Sicherheits-Appliance stellt einen idealen Brückenkopf im Netz des Opfers dar und ist daher ein lohnendes Ziel. Von dort aus könnten Hacker fast beliebig Daten mitschneiden und andere Systeme infizieren. Ormandy, der die Lücke entdeckte, nannte einen solchen Angriff ein „Alptraum-Szenario“.

Bei Googles Project Zero wird die Lücke unter der Fallnummer 666 geführt und hat deswegen den Spitznamen „Sicherheitslücke des Teufels“ bekommen. FireEye hat sie innerhalb eines Tages geschlossen. Administratoren, die diese Systeme betreiben, sollten sicherstellen, dass sie das Security Content Update 427.334 eingespielt haben. In der Regel sind die FireEye-Appliances so konfiguriert, dass sie Sicherheits-Updates automatisch installieren. (fab@ct.de)

Kommentieren

Leserbrief schreiben

Auf Facebook teilen

Auf X teilen