Juniper Backdoor, alcune spiegazioni in più per i nostri clienti

networking

Continuiamo a ricevere chiamate preoccupate per la backdoor recentemente scoperta negli apparati Juniper basati su ScreenOS, ci sembra quindi il caso di chiarire ulteriormente la situazione.

In primo luogo chiariamo subito il punto principale:

Tutti i nostri clienti con un contratto di assistenza sui firewall hanno già ricevuto da tempo l'aggiornamento che risolve il problema, e non devono fare niente altro in merito.

Detto questo, vediamo di capire cosa è successo.

Il 18 Dicembre 2015, 4 giorni fa, Juniper pubblica un avviso di sicurezza in cui avverte tutti i propri clienti del fatto che è stata scoperta una falla di sicurezza nelle versioni dalla 6.2.0r15 alla 6.2.0r18 e dalla 6.3.0r12 alla 6.3.0r20 di ScreenOS per cui, conoscendo un nome utente valido, ci si può collegare al firewall in SSH dando una password "conosciuta" ed accedere con i pieni diritti di amministratore del sistema, rendendo pertanto possibile riprogrammare il firewall come si desiderava.

Oltre a ciò era possibile in quelle versioni del sistema leggere il traffico criptato delle VPN attraverso particolari accorgimenti.

Contestualmente Juniper rilascia una versione di ognuno dei software compromessi in cui il problema era stato risolto e consiglia di applicare tale patch il prima possibile; oltre a ciò rilascia anche la versione 6.3.0r21 del software che si lascia definitivamente alle spalle la problematica.

Chiariamo ancora: le versioni precedenti e successive a quelle indicate non erano affette dal problema.

Su tutti i firewall che la supportano (tutti quelli sotto contratto di assistenza) abbiamo pertanto provveduto IMMEDIATAMENTE a installare la versione 6.3.0r21, ben prima che la password "conosciuta" venisse resa pubblica.

Chi ha un vecchio apparato non piu' sotto manutenzione con noi dovrebbe in primo luogo valutare il fatto di aggiornarlo con un apparato più recente (vuol dire che quello in loro possesso ha ben più di 5 anni e forse sarebbe il caso di valutarne molto seriamente la sostituzione per obsolescenza), ma comunque se usa versioni di ScreenOS precedente, tipo la 5.4.0, non è affetto da QUESTO particolare problema, sebbene è facile che sia affetto da altri visto che sono anni che tali versioni non vengono più aggiornate.

Ora, spiace dirlo e ribadirlo a tutti coloro che trovano una gioia segreta da questo problema, e sono pronti a puntare il dito verso Juniper e i suoi apparati di sicurezza, ma questo tipo di cose, che si voglia o no, capita a TUTTI coloro che fanno apparati di sicurezza prima o poi, ed è il motivo per cui diciamo sempre che

un firewall non è una "scatola magica" che può essere abbandonata al suo destino sperando che continui imperterrita a fare il suo lavoro.

La sicurezza non è uno "stato" che può venire raggiunto e spuntato con un bel segno di "check" e dire "fatto, non devo fare più nulla", bensì un processo in costante cambiamento ed evoluzione.

E se il fatto di avere adottato un firewall di qualunque genere è sicuramente un buon inizio, non può certo essere considerato una "fine" per nessuno in questo processo.