Eigentlich sollte man meinen, dass gerade Sicherheitsfirmen wie Juniper Networks den Source Code für ihre eigenen Angebote fest im Griff haben. Doch dem ist offenbar nicht so, wie das Unternehmen nun öffentlich eingestehen muss.

Doppelschlag

Bei einem internen Code-Review wurden gleich zwei Backdoors im für kommerzielle Firewall-Lösungen genutzten Betriebssystem Screen OS aufgespürt. Das erste davon erlaubt es VPN-Verbindungen zu entschlüsseln und die darüber kommunizierten Daten vollständig zu überwachen – und zwar ohne Spuren zu hinterlassen. Über die zweite Hintertür erlangen Angreifer per SSH oder Telnet administrativen Zugang zu den Firewalls.

Gezielte Attacke

Juniper spricht in seiner Mitteilung wörtlich von "unautorisiertem Code". Wie dieser an seine Stelle gekommen ist, kann man sich bisher allerdings nicht erklären. Klar ist nur, dass es sich um gezielte Backdoors handelt und nicht bloß um simple Programmierfehler.

Über mehrere Jahre

Externe Sicherheitsexperten sind den Aussagen von Juniper mittlerweile nachgegangen, und fügen so ein weiteres beunruhigendes Detail zur Geschichte an. Die Lücken sind nämlich mindestens seit dem Jahr 2012 im Code nachzuweisen. Hier scheint also schon länger jemand – zumindest theoretisch Generalzugang zu den von Juniper verkauften Firewalls gehabt zu haben.

Spurensuche

Bei all dem bleibt die Frage offen, wer die Hintertüren eingebracht hat, Hinweise darauf scheint Juniper bisher nicht gefunden zu haben. Experten vermuten allerdings staatliche Hacker als Verursacher, immerhin ist bekannt, dass NSA und Co. seit Jahren versuchen die Sicherheit solcher Systeme zu unterwandern. Zudem spricht eine Spiegel-Artikel aus dem Jahr 2013 explizit von einem Programm namens FEEDTHROUGH, das der NSA Zugriff auf Juniper-Firewalls bieten soll. Ein endgültiger Beweis für die Täterschaft des US-Geheimdienstes ist dies natürlich nicht, die Spur deutet aktuell aber stark in diese Richtung.

Update

Unterdessen raten die Experten von Cert.at allen seinen Firewall-Kunden zu einem dringenden Software-Update. Betroffen seien alle NetScreen-Geräte, die Mit ScreenOS 6.2.0r15 bis 6.2.0r18 beziehungsweise 6.3.0r12 bis 6.3.0r20 ausgestattet sind. (apo, 18.12.2015)