Juniper-routers wereldwijd worden sinds 2023 voorzien van een achterpoortje waarlangs criminelen de controle kunnen overnemen. De achterpoort is goed beschermd en het is onduidelijk wie ze geplaatst heeft, of hoe.
Enterprise-routers van Juniper Networks zijn voorzien van een achterpoortje. Dat ontdekten beveiligingsonderzoekers van Black Lotus Labs bij Lumen Technologies. De achterpoortjes zijn inactief, maar luisteren passief naar één van vijf mogelijke magische pakketten. Zodra zo’n pakket wordt ontvangen, vraagt de achterpoort zelf naar authenticatie. Lukt dat, dan krijgt een aanvaller de complete toegang tot de routers.
De achterpoort zou een variant zijn van cd00r. Het lek leeft na succesvolle injectie in het geheugen van de routers. Het is onduidelijk hoeveel toestellen er besmet zijn. Aanvallers zijn al sinds 2023 bezig met de infectie van toestellen.
Slachtoffers wereldwijd
De onderzoekers ontdekten slachtoffers wereldwijd, van de VS tot in Rusland, en van Zuid-Amerika tot Europa. Zo zijn er toestellen geïnfecteerd bij firma’s in het VK, Noorwegen en Nederland.
De keuze voor routers is niet toevallig. De toestellen worden niet uitvoerig gemonitord, maar hebben wel een heel centrale plek in het netwerk. Black Lotus deelt zelf meer details over het lek, inclusief de signalen die aantonen of er iets mis is.