The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

18.12.2015 10:41  В межсетевых экранах Juniper выявлен бэкдор с функциями расшифровки трафика VPN

Компания Juniper сообщила о выявлении в операционной системе ScreenOS, которой комплектуются межсетевые экраны NetScreen, скрытого бэкдора (CVE-2015-7755), снабжённого функциями дешифровки соединений VPN и позволяющего удалённо получить доступ администратора на устройстве. Бэкдор выявлен в процессе внутреннего аудита, который показал наличие в составе ScreenOS постороннего кода. В настоящее время компания проводит расследование и пытается выявить каким образом мог быть внедрён вредоносный код.

Компания Juniper отмечает, что к ней не поступало никаких сообщений о проблемах, которые могли быть связаны с возможном проявлением бэкдора. Скорее всего бэкдор широко не использовался и был оставлен для проведения единичных целевых атак. Проблема проявляется начиная с сентября 2012 года и затрагивает выпуски ScreenOS с 6.2.0r15 по 6.2.0r18 и 6.3.0r12 по 6.3.0r20. Всем пользователям устройств NetScreen рекомендуется срочно установить обновление прошивки. Исправление доступно в обновлениях 6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b, 6.3.0r18b и 6.3.0r19b.

Первая функция бэкдора позволяет получить полный доступ к устройству через SSH или telnet. Проникновение атакующих можно определить по характерным записям в логе, сигнализирующим о привилегированном входе в систему подозрительных пользователей. При этом допускается, что грамотные атакующие могут успешно замести следы и удалить из лога записи, сигнализирующие о проникновении в систему.

Пример проявления использования бэкдора в логе:



   2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from ....
   2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username1' at host ....

   2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from ....
   2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username2' at host ....

Вторая функция бэкдора позволяет атакующему перехватить VPN-трафик и выполнить операции по его дешифровке. Признаки обнаружения перехвата VPN отсутствуют. Интересно, что в 2013 году произошла утечка подготовленного в Агентстве национальной безопасности каталога, перечисляющего возможные способы получения контроля над потребительскими устройствами. В каталоге было упомянуто наличие вредоносного ПО "FEEDTROUGH", предназначенное для внедрения на межсетевые экраны Juniper. Наличие специализированного вредоносного ПО также было отмечено для устройств Cisco, Huawei и Dell.

Дополнение 1: Энтузиасты попытались провести обратный инжиниринг изменений в прошивке, чтобы понять суть работы бэкдора. Судя по всему, для расшифровки VPN использовался набор изменённых констант в генераторе псевдослучайных чисел EC PRNG, что позволяло генерировать предсказуемые ключи шифрования.

Дополнение 2: Опубликован детальный разбор бэкдора входа в систему с правами администратора. В том числе выявлен мастер-пароль "<<< %s(un='%s') = %u", позволяющий попасть в привилегированный shell указав любое корректное имя пользователя (например, system).

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: juniper, backdoor, vpn
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, eRIC (ok), 11:07, 18/12/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +21 +/
    ага и установить обновление прошивки с другим скрытым бекдором, чтобы было одобрение от ваших федералов...

    никто не верит что бекдор от стороннего лица, а это ваш бекдор который уже засветился. вот чтобы прикрыть лавочку и выпускаете другую лавочку.

     
     
  • 2.15, Аноним (-), 12:58, 18/12/2015 [^] [ответить]     [к модератору]
  • +3 +/
    Аналогичная мысль пришла Были приняты на работу новые сотрудники, и вот они по ... весь текст скрыт [показать]
     
  • 2.21, Аноним (-), 13:22, 18/12/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Тоньше, тоньше Прорекламировать по полной, что у них есть внутренний аудит и он... весь текст скрыт [показать]
     
  • 1.9, _KUL (ok), 12:14, 18/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    По идеи же за такие вещи их огромные корпоративные клиенты могут засудить в пух и прах и компания обнищает?!
    Я понял! Это засланный казачок от циски сделал, т.к. джуники начали активно конкурировать и ощутимо бить по карману!
     
     
  • 2.16, Меломан1 (?), 13:02, 18/12/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    Чей казачок вопрос спорный, но работает он в QA.
     
     
  • 3.57, программист (?), 16:15, 19/12/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    > Чей казачок вопрос спорный, но работает он в QA.

    С каких пор QA код смотреть и понимать может?

     
  • 1.10, АнонимОС (?), 12:17, 18/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Вот засада, АНБ-шникам опять придется что то придумывать взамен. :)
     
     
  • 2.17, Аноним (-), 13:03, 18/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Не волнуйтесь, ни один клозетсорсник АНБ стороной не обойдёт ;)
     
  • 2.20, GrammarNarziss (?), 13:14, 18/12/2015 [^] [ответить]    [к модератору]  
  • +7 +/
    "что-то"
     
  • 1.12, Аноним (-), 12:38, 18/12/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • –4 +/
    Это СПО, здесь каждый имеет право вносить свои изменения и если это кому-то не н... весь текст скрыт [показать]
     
     
  • 2.13, iZEN (ok), 12:49, 18/12/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    > А если мне нужен этот бэкдор, но я нехочу возиться с исходниками, что мне делать?

    Перебарывать лень.

     
  • 2.18, Аноним (-), 13:07, 18/12/2015 [^] [ответить]    [к модератору]  
  • +12 +/
    Это с каких пор жуниперо/циско-поделия стали СПО?
     
     
  • 3.26, Аноним (-), 14:39, 18/12/2015 [^] [ответить]    [к модератору]  
  • –3 +/
    Если индивид мог свободно внести изменения то это СПО, ведь он же имел свободный доступ к исходникам этого ПО?
     
  • 3.48, Аноним (-), 21:53, 18/12/2015 [^] [ответить]     [к модератору]  
  • –2 +/
    всегда были они, в отличие от остальных каннибализаторов xBSD - стабильно комми... весь текст скрыт [показать]
     
  • 2.19, Аноним (-), 13:10, 18/12/2015 [^] [ответить]    [к модератору]  
  • +8 +/
    > Это СПО

    Закусывать надо, прежде чем писать!

     
     
  • 3.27, Michael Shigorin (ok), 14:59, 18/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    >> Это СПО
    > Закусывать надо, прежде чем писать!

    Боюсь, наркоманам, которые по методичке орут "СПО! каждый!", никакая закусь не впрок.

    Призовая ссылка: http://wiki.opennet.ru/MSSP

     
     
  • 4.63, Клыкастый (ok), 11:27, 21/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > Боюсь, наркоманам, которые по методичке орут "СПО! каждый!", никакая закусь не впрок.

    А если смесь снотворного и пургена?

     
  • 1.14, Аноним (-), 12:51, 18/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +12 +/
    Бэкдор тоже нужно иногда обновлять
     
  • 1.22, Анонпитонер (?), 14:00, 18/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Когда появляется бэкдор, это точно кому-то надо. Если серьёзная компания говорит о том, что она не знает откуда он взялся, это значит серьёзная компания под угрозой терморектального криптоанализа (либо за вкусный пончик) это сделала сама.
     
  • 1.23, Аноним (-), 14:22, 18/12/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Это, вообще, как Их индусы до сих пор системой контроля версий пользоваться не ... весь текст скрыт [показать]
     
     
  • 2.29, Crazy Alex (ok), 15:15, 18/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Даже если в репе лежит коммит от Джона, это значит ровно то, что там есть коммит... весь текст скрыт [показать]
     
     
  • 3.38, Наркоман (?), 18:52, 18/12/2015 [^] [ответить]    [к модератору]  
  • +3 +/
    Для действительности коммиты подписывают ключом.
     
     
  • 4.50, Crazy Alex (ok), 01:55, 19/12/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    В открытой разработке - да А в корпоративе - ни разу не видел То есть, может, ... весь текст скрыт [показать]
     
     
  • 5.51, Etch (?), 06:02, 19/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Значит этот Джон дважды виноват: 1 - в утере ключа и 2 - в том, что не заметил левый коммит от своего имени.
     
     
  • 6.52, Aleks Revo (ok), 07:33, 19/12/2015 [^] [ответить]    [к модератору]  
  • +/
    С какого бы перепугу безусловно виноват Джон? Он администрирует свою машину? Ключ не мог утечь уровнем выше - обязательно из кармана Джона?
     
     
  • 7.61, Etch (?), 23:36, 19/12/2015 [^] [ответить]    [к модератору]  
  • +/
    А с какого перепугу закрытый ключ Джона должен быть ещё у кого-то кроме него самого? В чём тогда смысл подписей?
     
  • 3.64, Клыкастый (ok), 11:29, 21/12/2015 [^] [ответить]     [к модератору]  
  • +/
    вырисовывается какой-то аццкий звездец в конторе, который лечится только тотальн... весь текст скрыт [показать]
     
     
  • 4.69, Аноним (-), 15:42, 19/01/2016 [^] [ответить]    [к модератору]  
  • +/
    Вот именно такой способ кадрового управления и позволяет правильно подготовившейся уборщице внедрять бэкдоры в серьёзных корпорациях. Ключи-то у неё уже есть. Всякие... :)
     
  • 1.28, Michael Shigorin (ok), 15:02, 18/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    Немножко другое, но:

    http://t8.ru
    http://rusteletech.ru
    http://metrotek.spb.ru

     
     
  • 2.35, Эргил (ok), 17:09, 18/12/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    Предлагаешь сразу покупать железки в которых есть бэкдоры от глубокого бурения?
    Спасибо, нет.
     
  • 1.30, mitiok (??), 15:16, 18/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    мда, я являюсь счастливым домашним пользователем ssg20
     
  • 1.31, Аноним (-), 15:42, 18/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Так че если анбшников не судят за то что малварь пишут бэкдоры и всякое такое
    Значит можно уже всем троянов писать и ничего не будет ?
    Что то не пойму политику куда клонится можно или нельзя
     
     
  • 2.32, Michael Shigorin (ok), 15:47, 18/12/2015 [^] [ответить]    [к модератору]  
  • –2 +/
    > Так че если анбшников не судят

    "он же памятник" -- а что своё огребут, пока мало кто задумывается всерьёз (хотя и Сноуден вот появился, и книжка Джона Перкинса интересная была)...

     
     
  • 3.36, Аноним (-), 17:49, 18/12/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    Когда комитетские закладки в своём чудобутиве начнёте публиковать?
     
     
  • 4.67, Аноним (-), 02:26, 03/01/2016 [^] [ответить]    [к модератору]  
  • +/
    когда из ваших фантазий они воплотятся в реальность -- тогда и начнут
     
  • 2.39, nonymous (?), 19:03, 18/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > Так че если анбшников не судят за то что малварь пишут бэкдоры
    > и всякое такое
    > Значит можно уже всем троянов писать и ничего не будет ?

    Тебе - будет обязательно. Им - нет.


     
  • 1.34, annual slayer (?), 17:04, 18/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > В настоящее время компания проводит расследование и пытается выявить каким образом мог быть внедрён вредоносный код.

    ну и кто поверит, что там нет системы контроля версий?

     
     
  • 2.41, Аноним (-), 20:32, 18/12/2015 [^] [ответить]    [к модератору]  
  • +4 +/
    прилетело нло и опубликовало этот бэкдор здесь.
     
  • 1.40, Аноним (-), 19:11, 18/12/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • –5 +/
    Если в непонятную закрытую хрень закрытой компании кто-то напихал бекдоров так, ... весь текст скрыт [показать]
     
     
  • 2.42, Аноним (-), 20:35, 18/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > а через 10 лет внезапно найдут...

    было уже https://wiki.debian.org/SSLkeys

     
  • 2.43, Аноним (-), 20:36, 18/12/2015 [^] [ответить]     [к модератору]  
  • +/
    В закрытой как раз легче плевать У меня сейчас на работе есть коллега, который ... весь текст скрыт [показать]
     
  • 2.46, Michael Shigorin (ok), 21:24, 18/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > то что говорить об открытых кодопомойка? Наплюют туда кода

    Это про codeplex, что ли?

     
     
  • 3.65, Клыкастый (ok), 11:31, 21/12/2015 [^] [ответить]    [к модератору]  
  • +/
    >> то что говорить об открытых кодопомойка? Наплюют туда кода
    > Это про codeplex, что ли?

    туше!

     
  • 1.45, Геймер (?), 21:14, 18/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    А зачем после Видоус 10 стыдится и бэкдоры прятать. Прямым текстом в лицензии так писать, что "All your base are belong to us". Долой стыд!
     
     
  • 2.49, Аноним (-), 22:13, 18/12/2015 [^] [ответить]    [к модератору]  
  • +/
    Теперь не будут, будут делать также как MS
     
  • 1.54, Stanislav (??), 15:30, 19/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ага! А ничего что screenOS уже -цать как как dead? новых продуктов на нем нем, а старые только на барахолках. Ну раскопали, некроманты...
     
     
  • 2.55, Andrey Mitrofanov (?), 15:38, 19/12/2015 [^] [ответить]     [к модератору]  
  • –2 +/
    Для само-пиара друзей б3дешников самое оно Никаких отходов -- всё в дом Wновос... весь текст скрыт [показать]
     
  • 1.56, Аноним (-), 16:13, 19/12/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Выпилить этот Telnet, не нужен он в Linux Это в виндах служба на службе сидит ... весь текст скрыт [показать]
     
     
  • 2.60, Аноним (-), 19:43, 19/12/2015 [^] [ответить]     [к модератору]  
  • +/
    В нормальных осях он уже лет 12 как R I P ... весь текст скрыт [показать]
     
  • 1.62, Аноним (-), 11:12, 21/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Скоро в бекдорах уже бекдоры начнут выявлять ахах..
     
  • 1.66, N (?), 11:11, 22/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вот оно хваленное железо от "жуниора")))))
    а говорили надежное сбер на нем сидит)))
     
     
  • 2.68, Аноним (-), 02:29, 03/01/2016 [^] [ответить]    [к модератору]  
  • +/
    директор Сбера тот еще фрукт
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor