La firme Juniper Networks spécialisée dans les équipements réseaux indique à ses clients avoir découvert des portes dérobées dans ScreenOS, présent dans ses pare-feux et services VPN. Un patch d’urgence a été déployé.
Deux failles de sécurité ont été décelées au sein du code source de ScreenOS, le système d’exploitation développé par Juniper Networks pour ses solutions de sécurité type firewall ou VPN. Dans son rapport, la société explique avoir détecté ces deux vulnérabilités à l’occasion d’un audit interne de son code source.
Des vulnérabilités critiques pour Juniper
La première faille détectée permettrait à un attaquant d’accéder à la machine cible via Telnet ou SSH en tant qu’administrateur sous ScreenOS, tandis que la seconde permet d’espionner le trafic sur les VPN fournis par la société, offrant à l’attaquant la possibilité de s’emparer de clefs et d’identifiants confidentiels. Seule trace du passage d’un attaquant dans les logs : la mention d’une connexion de la part d’un utilisateur « system », une trace facile à effacer du système pour un attaquant expérimenté, remarque Juniper.
D’où proviennent ces backdoors d’espionnage ?
Il s’agit là d’un code-espion en bonne et due forme. Ces importantes failles de sécurité affectent uniquement les machines fonctionnant sous ScreenOS (équipements de la gamme NetScreen), de la version 6.2.0r15 à 6.2.0r18 et de la version 6.3.0r12 à 6.3.0r20, soit depuis de nombreuses années, entre 2008 et 2012 ! En conséquence et face à la gravité de la faille de sécurité, Juniper a publié une série de patchs correctifs afin de protéger ses utilisateurs potentiellement affectés.
La société a ouvert une enquête interne afin de déterminer l’origine de ces failles critiques tout en avouant être incapable de dire avec certitude si elles ont été exploitées ou non depuis leur apparition… Seule solution, appliquer les patchs officiels au plus vite sur l’ensembles des équipements Juniper.
Bien évidemment, les soupçons pèsent directement sur la NSA, même si celle-ci n’a jamais été citée encore dans cette affaire. Néanmoins, tout le monde se souvient des documents révélés par Edward Snowden en 2013 qui faisaient état de plusieurs outils à disposition de l’agence pour s’attaquer à certains équipements proposés par Juniper. Mais ce n’est bien entendu pas la seule piste, puisque cela pourrait être le fait de cybercriminels externes, de hackers en mission pour un gouvernement, de développeurs malveillants en internet ou encore de prestataires tiers. Bref, l’enquête va être longue !
Il se trouve que ScreenOS possède un core FreeBSD, ce qui fait directement penser à un parallèle avec l’affaire de backdoor ayant touché OpenBSD en décembre 2010, après que l’un des développeur du projet (couche IPsec précisément) ait été contacté par la NSA afin d’y inclure une porte dérobée. Le bulletin d’alerte avait à l’époque eu l’effet d’une bombe, car beaucoup n’avait pas été jusqu’à imaginer que la NSA irait jusqu’à payer des développeurs influents sur des projets libres afin d’y implanter des backdoors discrets. Mais ça a pourtant été le cas… et c’est inquiétant. A l’époque, le but de la NSA était de pouvoir intercepter et espionner le trafic VPN d’OpenBSD à l’insu des utilisateurs.
L’alerte sécurité est d’autant plus critique que Juniper a pour client de nombreuses institutions et gouvernements, y compris aux USA : le FBI et le ministère de la Défense en font parti. Malgré l’ampleur du problème, la direction se veut rassurante et précise :
« Pour le moment, aucun rapport n’indique que ces vulnérabilités ont été exploitées. Nous recommandons vivement aux clients de mettre à jour leurs systèmes et d’appliquer les versions corrigées sans délai ».