Juniper es uno de los principales fabricantes de routers para proveedores de servicios de Internet a nivel mundial. Sin embargo sus productos se han visto acosados por algunos problemas de seguridad en los últimos tiempos, como el descubrimiento de una puerta trasera en su sistema operativo ScreenOS.
El fabricante de referencia de muchos ingenieros de red acaba de anunciar que han encontrado otro fallo de seguridad, esta vez en JunOS, que permite interceptar las comunicaciones sensibles que van por una VPN de un cliente. La vulnerabilidad ya ha sido solucionada por la compañía.
Bajo este fallo, un atacante malicioso podía crear un certificado falso firmado por él mismo y, si le ponía como nombre de la entidad certificadora el de una de las admitidas en JunOS, el sistema se saltaba el paso de validación del certificado. No obstante, sólo afectaba a los certificados empleados en el protocolo IKE, uno de los que constituyen IPSec, el cual permite, a grandes rasgos, para comprobar la identidad en las VPN.
Este fallo, que es bastante grave, sólo es considerado como una amenaza de nivel medio por la compañía, al contrario que las vulnerabilidades descubiertas anteriormente, cuya calificación era de alta.
Vía: Ars Technica.
