Bundesamt für Sicherheit in der Informationstechnik

Zentrale Netzwerk-Geräte von kritischen Schwachstellen betroffen

Datum 12.10.2018

Für die Produkte des weltweit zweitgrößten Netzwerkausrüsters Juniper Networks sind mehrere kritische Schwachstellen bekannt geworden. Mindestens zwei dieser Sicherheitslücken ermöglichen externen Angreifern die komplette Übernahme von zentralen Systemen eines Netzwerkes. Die Schwachstellen betreffen das Betriebssystem JUNOS, das praktisch auf allen Juniper-Geräten verwendet wird. Für die Schwachstellen liegen Sicherheits-Updates des Herstellers vor, die allerdings nicht ohne eine kurzfristige Unterbrechung des jeweiligen Netzwerks vollständig eingespielt werden können. Betroffen sind insbesondere Unternehmensnetzwerke, in denen die Produkte große Verbreitung finden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Unternehmen und Netzwerkbetreibern eine unmittelbare Prüfung der eigenen Betroffenheit und die Umsetzung entsprechender Sicherheitsmaßnahmen. Das BSI hat mit einer entsprechenden Warnung die Betreiber Kritischer Infrastrukturen, Teilnehmer der Allianz für Cyber-Sicherheit und die Bundes- und Landesverwaltungen informiert.

"Erneut zeigt sich, dass in zentralen IT-Produkten Qualitätsstandards nicht eingehalten wurden und das Risiko damit auf die Kunden übertragen wird. Hersteller müssen dieser Verantwortung endlich gerecht werden und ihre Kunden und nicht zuletzt ihr eigenes Geschäftsmodell besser vor Cyber-Angriffen schützen. Unternehmen und andere Betroffene sollten nun alles Nötige unternehmen, um ihre Netzwerke und damit auch ihren wirtschaftlichen Erfolg zu schützen. Künftig sollten alle Anwender die Sicherheitseigenschaften der IT-Produkte als wesentlichen Faktor in ihre Kaufentscheidung einfließen lassen. Mit der Technischen Richtlinie für Router, die wir im November vorstellen wollen und dem daraus resultierenden IT-Sicherheitskennzeichen wollen wir dies künftig für viele internetfähige Geräte transparenter gestalten und weiter vereinfachen", so BSI-Präsident Arne Schönbohm.

Die bekannt gewordenen Schwachstellen betreffen verschiedene Versionen des JUNOS-Betriebssystems und haben unterschiedliche Schweregrade. Besonders kritisch schätzt das BSI eine Schwachstelle im NTP-Dienst ein (CVE-2018-7183), der für die notwendige Synchronisation der Computer-Uhren innerhalb eines Netzwerkes sorgt. Die Schwachstelle ermöglicht eine komplette Systemübernahme durch externe Angreifer, sofern das entsprechende Gerät über das Internet zu erreichen ist. Um das verfügbare Sicherheitsupdate einspielen zu können, muss mit einer kurzfristigen Verfügbarkeitsunterbrechung gerechnet werden. Unternehmen, für die dies kurzfristig nicht möglich ist, können vom Hersteller empfohlene Workarounds konfigurieren. Eine zweite Schwachstelle im SSH-Dienst (CVE-2018-0044 [3]), der eine Fernwartung des Gerätes erlaubt, ermöglicht potentiell ebenfalls die Systemübernahme durch einen externen Angreifer. Auch hierzu steht bereits ein Patch zur Verfügung, der kurzfristig eingespielt werden sollte.

Eine zweite Schwachstelle im SSH-Dienst (CVE-2018-0044 [3]), der eine Fernwartung des Gerätes erlaubt, ermöglicht potentiell ebenfalls die Systemübernahme durch einen externen Angreifer. Auch hierzu steht bereits ein Patch zur Verfügung, der kurzfristig eingespielt werden sollte.

Technische Details zu diesen und den weiteren Schwachstellen hält Juniper auf seiner Webseite bereit.

BSI Pressemitteilung vom 12.10.2018