Depuis 2023, les routeurs Juniper du monde entier sont équipés d’une porte dérobée permettant aux criminels d’en prendre le contrôle. La porte dérobée est bien protégée et on ne sait pas qui l’a placée, ni comment.
Les routeurs d’entreprise de Juniper Networks comportent une porte dérobée. Celle-ci a été découverte par des chercheurs en sécurité de Black Lotus Labs à Lumen Technologies. Les portes dérobées sont inactives, mais écoutent passivement l’un des cinq paquets magiques possibles. Lorsqu’un tel paquet est reçu, la porte dérobée demande une authentification. Si elle réussit, l’attaquant obtient un accès complet aux routeurs.
La porte dérobée serait une variante de cd00r. La fuite perdure après une injection réussie dans la mémoire des routeurs. On ne sait pas combien d’appareils sont infectés. Les attaquants infectent des appareils depuis 2023.
Victimes dans le monde entier
Les chercheurs ont découvert des victimes dans le monde entier, des États-Unis à la Russie, et de l’Amérique du Sud à l’Europe. Par exemple, des appareils ont été infectés dans des entreprises au Royaume-Uni, en Norvège et aux Pays-Bas.
Le choix des routeurs n’est pas fortuit. Ces appareils ne font pas l’objet d’une surveillance intensive, mais ils occupent une place centrale dans le réseau. Black Lotus donne plus de détails sur la fuite, notamment sur les signaux qui indiquent que quelque chose ne va pas.