Juniper räumt ein, dass die Equation Group ScreenOS im Visier hat

Das Unternehmen Juniper Networks räumte ein, dass einige Exploits im Dump von ShadowBrokers tatsächlich gegen seine Produkte ausgerichtet sind.

„Nachdem wir verfügbare Dateien analysiert hatten, kamen wir zu dem Schluss, dass eine gewisse Gruppe NetScreen-Geräte unter dem Betriebssystem ScreenOS angegriffen hat“, erklärte Derrick Scholl, Direktor des Security Incident Response Teams bei Juniper Networks. „Wir bewerten derzeit das Ausmaß des Angriffs, doch erste Daten zeugen davon, dass das Boot-Ladeprogramm attackiert und keine Sicherheitslücke in den Geräten unter ScreenOS ausgenutzt wurde.“

„Wir klären weiterhin, welcher Zugriffslevel ausreichend ist, um eine Attacke umzusetzen und ob es möglich ist, die Attacke zu detektieren und ob auch andere Geräte dieses Problem haben“, erklärte der Experte.

Exploits zu Sicherheitslücken in den Produkten von Cisco und Fortinet wurden ebenfalls in dem Datendump gefunden, der von den bisher nicht identifizierten Mitgliedern der Gruppe ShadowBrokers veröffentlicht wurde, die letzte Woche eine Auktion eröffneten, bei der Exploits der berüchtigten APT-Gruppe Equation Group versteigert werden, von der viele vermuten, dass sie mit der NSA in Zusammenhang steht.

Die Equation Group gilt als eine der einflussreichsten APT-Gruppen. Viele Forscher, darunter auch die Experten von Kaspersky Lab, die dieses Cyberspionage-Netzwerk im Jahr 2015 aufgedeckt und analysiert haben, weisen auf die äußerst auffällige Verbindung zwischen den von der Equation Group benutzten Exploits und den Tools und Exploits hin, die die Mitglieder von ShadowBrokers verkaufen.

Juniper ist das letzte Unternehmen aus einem Trio von Telekom-Giganten, das die Equation Group angegriffen hat, um die Legitimität von Cyberspionage-Tools anzuerkennen. In der vergangenen Woche berichtete Cisco, dass in einer der Attacken eine Zero-Day-Sicherheitslücke in seiner ASA Firewall ausgenutzt wurde, die bis heute nicht gepatcht wurde. Eine andere Lücke im Parser des Interfaces der Befehlszeile in ASA wurde bereits im Jahr 2011 geschlossen; sie konnte Geräte zum Absturz bringen, die die verwundbare Software benutzten und sie eröffnete die Möglichkeit der entfernten Ausführung von Code, wenn es bereits Zugriff auf das Gerät gab, das von dem Bug betroffen war.

Die Zero-Day-Sicherheitslücke in der SNMP-Implementation in ASA gibt Cyberverbrechern die Möglichkeit, entfernt und ohne Authentifikation schädlichen Code auf dem Gerät auszuführen. Bei Cisco wurde die Herausgabe einer IPS-Signatur für veraltete Ausrüstung (Legacy Cisco IPS Signature ID: 7655-0) und von Sicherheitsregeln für das Bedrohungserkennungssystem Snort (ID: 3:39885) bekanntgegeben.

„Der Defekt löst einen Pufferüberlauf im angreifbaren Teil des Codes aus. Diese Sicherheitslücke kann ausgenutzt werden, indem speziell konfigurierte SNMP-Pakete an die Adresse des betroffenen Systems gesendet werden“, heißt es in der Warnmitteilung von Cisco. „Mit einem Exploit könnte ein Hacker entfernt willkürlichen Code ausführen oder das angreifbare System absichtlich überlasten. Um die Sicherheitslücke ausnutzen zu können, muss ein Angreifer den SNMP Community String kennen.“

In der vergangenen Woche untersuchte der Forscher Mustafa Al-Bassam ein weiteres Exploits der Equation Group im Dump von BENIGNCERTAIN. Dieses Exploit richtet sich gegen die veralteten Cisco PIX Firewalls, die vom Hersteller nicht mehr unterstützt werden. Der Angriff beinhaltet den Angaben des Experten zufolge die Möglichkeit, entfernt private RSA-Kryptoschlüssel aufzuspüren und zu stehlen.

„Eine Analyse hat gezeigt, dass das Tool ein entferntes Exploit für Cisco PIX Geräte ist; es sendet ein IKE-Paket an das verwundbare Gerät und verursacht damit ein teilweises Speicherleck“, erzählt Al-Bassam. „Die kompromittierten Daten können dann geparst werden, um einen privaten RSA-Schlüssel und andere geheime Informationen über die Konfiguration herauszufinden.“

Am Freitag reagierte Cisco auf diese Informationen und unterstrich, dass die Untersuchungen bezüglich BENIGNCERTAIN keine neuen Sicherheitslücken in den aktuellen Produkten zutage gefördert haben.

„Obgleich die Serie Cisco PIX schon seit 2009 nicht mehr unterstützt wird, haben wir in Sorge um die Sicherheit der Kunden, die diese Geräte nach wie vor benutzen, eine Untersuchung durchgeführt und entdeckt, dass die Sicherheitslücke in den PIX-Geräten in den Versionen bis 6.x enthalten ist“, erklärte Omar Santos in der Warnung über ShadowBrokers. „Die PIX-Versionen 7.0 und höher sind nicht von den BENIGNCERTAIN-Sicherheitslücken betroffen.“

Was Juniper betrifft, so ist es nicht das erste Mal, dass das Unternehmen zum Angriffsziel der NSA wird. Die Juniper-Produkte wurden im Bericht von Edward Snowden über die Überwachung durch die NSA aus dem Jahr 2013 gesondert erwähnt. Ende vergangenen Jahres erklärte der Hersteller, dass er „Drittcode“ aus dem Code seines Betriebssystems ScreenOS gelöscht habe; dank dieser Lücke waren Angreifer in der Lage, den VPN-Traffic zu dechiffrieren, der über NetScreen-Geräte läuft.

Im Jahr 2013 veröffentlichte Der Spiegel einen Artikel der Autoren Jacob Appelbaum, Judit Horchert und Christian Stocker, in dem die Einschleusung des NSA-Programms FEEDTHROUGH beschrieben wurde, das eine Backdoor in den Firewalls von NetScreen- und VPN-Geräten auf dem Betriebssystem ScreenOS installierte. Juniper entdeckte und patchte im Dezember vergangenen Jahres zwei Lücken; die eine installierte eine Backdoor zum Dechiffrieren des VPN-Traffics, die andere ermöglichte es, entfernt Zugriff auf NetScreen-Geräte über SSH oder telnet zu erhalten.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.