Juniper reconnaît (enfin) une faille mise au jour par les Shadow Brokers

Un autre constructeur, Juniper, reconnaît à son tour que certains des outils de hacking mis en ligne par les Shadow Brokers ciblent bien ses matériels. Les firewalls Netscreen sont, une fois encore, dans l’œil du cyclone.

Après Cisco et Fortinet, au tour de Juniper de reconnaître que certains des outils mis en ligne par les Shadow Brokers – un groupe de hackers inconnu jusqu’alors qui affirme avoir piraté la NSA – ciblent bien certains de ses produits. Rappelons que les Shadow Brokers ont mis à disposition une archive renfermant des outils de hacking, dont certains visent les matériels de grands constructeurs. Parmi eux, figurent plusieurs implants (FeedTrough, Barglee et Zestyleak) apparemment dédiés aux firewalls et VPN de Netscreen, selon les analyses de chercheurs indépendants.

Dans un billet de blog où il n’entre pas dans les détails, Juniper reconnaît « avoir identifié une attaque contre les machines NetScreen (entreprise rachetée par Juniper en 2004, NDLR) tournant sous ScreenOS ». Derrick Scholl, le directeur de la réponse aux incidents de sécurité du constructeur, indique que les équipes de Juniper sont encore en train de décortiquer cette attaque, pour en établir la portée, et précise que les premières analyses montrent que celle-ci cible le démarrage de ces machines et « n’exploite pas une vulnérabilité des machines ScreenOS ».

Vieux exploits pour vieux matériels

Cette précision semble écarter tout lien entre cette technique mise au jour par les Shadow Brokers et la backdoor présente dans ScreenOS jusqu’à tout récemment. Rappelons que, fin 2015, Juniper admettait avoir détecté dans cet OS un « code non autorisé ». Selon les recherches de plusieurs cryptographes, cette intrusion serait le fait d’une organisation inconnue qui aurait profité d’un algorithme de chiffrement affaibli par la NSA pour le détourner à son profit. Une affaire rocambolesque qui avait illustré à la fois les liens entre les équipementiers américains et leurs services de renseignement et les dangers d’un affaiblissement du chiffrement. Dans un premier temps, Juniper a livré un patch pour remédier à l’intrusion dans son code, avant finalement de retirer purement et simplement l’algorithme de chiffrement incriminé.

Selon les analyses de chercheurs en sécurité, d’autres constructeurs sont affectés par les outils mis en ligne par les Shadow Brokers. C’est notamment le cas du Chinois Topsec ou de l’Américain Watchguard. Dans un billet de blog, ce dernier explique que le script Python ciblant ses gammes touche en fait les appliances RapidStream, une entreprise qu’il a rachetée en 2002. Selon Marc Laliberte, analyste en sécurité de la société, l’exploit ne peut pas être adapté sur les gammes actuelles Firebox et XTM. Ce qui bien sûr n’enlève rien au fait que les vieux systèmes de RapidStream restent vulnérables. Comme dans le cas présent, les exploits ciblant les matériels de Cisco s’attaquent à des machines anciennes (comme les PIX qui ne sont plus supportés depuis 2009). Dans l’archive mise en ligne par les Shadow Brokers, les fichiers les plus récents remontent à fin 2013 si on se fie à leur date de création (une donnée qui est toutefois facilement manipulable).

A lire aussi :

Cisco et Fortinet valident le sérieux des Shadow Brokers, hackers de la NSA

Encore une autre faille ‘made in NSA’ pour Cisco

Pour Snowden, c’est la Russie qui a piraté la NSA

crédit photo © Juniper Networks