Juniper vindt spionagecode in eigen firewalls

Juniper heeft een waarschuwing uitgegeven met betrekking tot de vondst. Het is onduidelijk hoe de code terecht is gekomen in ScreenOS, de software die de NetScreen firewalls van het bedrijf aanstuurt. Het lijkt er op dat de code al zeker sinds 2012 in het besturingssysteem zit.

De vreemde coderegels werd onlangs ontdekt tijdens een interne code review. Direct na de ontdekking is Juniper onderzoek gestart en heeft inmiddels patches beschikbaar die de code verwijderen.

De grote vraag is wie de code heeft aangebracht in ScreenOS. Voor de hand ligt de vinger te wijzen naar de Amerikaanse opsporingsdienst NSA, omdat bij verschillende gelegenheden is gebleken dat de NSA dergelijk praktijken hanteert. Dat blijkt onder meer uit de documenten die Edward Snowden deelde met de pers. Maar ook Cisco en andere bedrijven hebben te maken gehad met pogingen van de NSA achterdeurtjes te creëren in hun producten.

ScreenOS zo snel mogelijk bijwerken

Juniper zegt geen indicatie te hebben dat de code ook daadwerkelijk is gebruikt voor het onderscheppen van communicatie. Het netwerkbedrijf raadt echter bezitters van NetScreen firewalls wel aan de geschoonde versie van het besturingssysteem zo snel mogelijk te installeren.

De gewraakte code stelt een buitenstaander in staat via Telnet of SSH als admin toegang te krijgen tot de firewall. In principe registreert de firewall alle inlogpogingen. Maar, zo waarschuwt Bob Worall, CIO van Juniper, in de blog, een gewiekste hacker kan de logfile bewerken zodat de ongeauthoriseerde inlog niet meer is terug te vinden.

Daarnaast biedt de code de mogelijkheid aan de buitenstaander het VPN-verkeer over de firewall te volgen en te ontsleutelen. Er is geen manier om te ontdekken of deze inbreuk op VPN's in de praktijk is gelukt.