The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

18.12.2015 10:41  В межсетевых экранах Juniper выявлен бэкдор с функциями расшифровки трафика VPN

Компания Juniper сообщила о выявлении в операционной системе ScreenOS, которой комплектуются межсетевые экраны NetScreen, скрытого бэкдора (CVE-2015-7755), снабжённого функциями дешифровки соединений VPN и позволяющего удалённо получить доступ администратора на устройстве. Бэкдор выявлен в процессе внутреннего аудита, который показал наличие в составе ScreenOS постороннего кода. В настоящее время компания проводит расследование и пытается выявить каким образом мог быть внедрён вредоносный код.

Компания Juniper отмечает, что к ней не поступало никаких сообщений о проблемах, которые могли быть связаны с возможном проявлением бэкдора. Скорее всего бэкдор широко не использовался и был оставлен для проведения единичных целевых атак. Проблема проявляется начиная с сентября 2012 года и затрагивает выпуски ScreenOS с 6.2.0r15 по 6.2.0r18 и 6.3.0r12 по 6.3.0r20. Всем пользователям устройств NetScreen рекомендуется срочно установить обновление прошивки. Исправление доступно в обновлениях 6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b, 6.3.0r18b и 6.3.0r19b.

Первая функция бэкдора позволяет получить полный доступ к устройству через SSH или telnet. Проникновение атакующих можно определить по характерным записям в логе, сигнализирующим о привилегированном входе в систему подозрительных пользователей. При этом допускается, что грамотные атакующие могут успешно замести следы и удалить из лога записи, сигнализирующие о проникновении в систему.

Пример проявления использования бэкдора в логе:



   2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from ....
   2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username1' at host ....

   2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from ....
   2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username2' at host ....

Вторая функция бэкдора позволяет атакующему перехватить VPN-трафик и выполнить операции по его дешифровке. Признаки обнаружения перехвата VPN отсутствуют. Интересно, что в 2013 году произошла утечка подготовленного в Агентстве национальной безопасности каталога, перечисляющего возможные способы получения контроля над потребительскими устройствами. В каталоге было упомянуто наличие вредоносного ПО "FEEDTROUGH", предназначенное для внедрения на межсетевые экраны Juniper. Наличие специализированного вредоносного ПО также было отмечено для устройств Cisco, Huawei и Dell.

Дополнение 1: Энтузиасты попытались провести обратный инжиниринг изменений в прошивке, чтобы понять суть работы бэкдора. Судя по всему, для расшифровки VPN использовался набор изменённых констант в генераторе псевдослучайных чисел EC PRNG, что позволяло генерировать предсказуемые ключи шифрования.

Дополнение 2: Опубликован детальный разбор бэкдора входа в систему с правами администратора. В том числе выявлен мастер-пароль "<<< %s(un='%s') = %u", позволяющий попасть в привилегированный shell указав любое корректное имя пользователя (например, system).

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: juniper, backdoor, vpn
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, eRIC, 11:07, 18/12/2015 [ответить] [смотреть все]
  • +21 +/
    ага и установить обновление прошивки с другим скрытым бекдором, чтобы было одобрение от ваших федералов...

    никто не верит что бекдор от стороннего лица, а это ваш бекдор который уже засветился. вот чтобы прикрыть лавочку и выпускаете другую лавочку.

     
     
  • 2.15, Аноним, 12:58, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    Аналогичная мысль пришла Были приняты на работу новые сотрудники, и вот они по ... весь текст скрыт [показать] [показать ветку]
     
  • 2.21, Аноним, 13:22, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Тоньше, тоньше Прорекламировать по полной, что у них есть внутренний аудит и он... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, _KUL, 12:14, 18/12/2015 [ответить] [смотреть все]  
  • –1 +/
    По идеи же за такие вещи их огромные корпоративные клиенты могут засудить в пух и прах и компания обнищает?!
    Я понял! Это засланный казачок от циски сделал, т.к. джуники начали активно конкурировать и ощутимо бить по карману!
     
     
  • 2.16, Меломан1, 13:02, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Чей казачок вопрос спорный, но работает он в QA.
     
     
  • 3.57, программист, 16:15, 19/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    С каких пор QA код смотреть и понимать может ... весь текст скрыт [показать]
     
  • 1.10, АнонимОС, 12:17, 18/12/2015 [ответить] [смотреть все]  
  • +1 +/
    Вот засада, АНБ-шникам опять придется что то придумывать взамен. :)
     
     
  • 2.17, Аноним, 13:03, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Не волнуйтесь, ни один клозетсорсник АНБ стороной не обойдёт ;)
     
  • 2.20, GrammarNarziss, 13:14, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    "что-то"
     
  • 1.12, Аноним, 12:38, 18/12/2015 [ответить] [смотреть все]  
  • –4 +/
    Это СПО, здесь каждый имеет право вносить свои изменения и если это кому-то не н... весь текст скрыт [показать]
     
     
  • 2.13, iZEN, 12:49, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Перебарывать лень ... весь текст скрыт [показать] [показать ветку]
     
  • 2.18, Аноним, 13:07, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +12 +/
    Это с каких пор жуниперо/циско-поделия стали СПО?
     
     
  • 3.26, Аноним, 14:39, 18/12/2015 [^] [ответить] [смотреть все]  
  • –3 +/
    Если индивид мог свободно внести изменения то это СПО, ведь он же имел свободный... весь текст скрыт [показать]
     
  • 3.48, Аноним, 21:53, 18/12/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    всегда были они, в отличие от остальных каннибализаторов xBSD - стабильно комми... весь текст скрыт [показать]
     
  • 2.19, Аноним, 13:10, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    > Это СПО

    Закусывать надо, прежде чем писать!

     
     
  • 3.27, Michael Shigorin, 14:59, 18/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Боюсь, наркоманам, которые по методичке орут СПО каждый , никакая закусь не в... весь текст скрыт [показать]
     
     
  • 4.63, Клыкастый, 11:27, 21/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    А если смесь снотворного и пургена ... весь текст скрыт [показать]
     
  • 1.14, Аноним, 12:51, 18/12/2015 [ответить] [смотреть все]  
  • +12 +/
    Бэкдор тоже нужно иногда обновлять
     
  • 1.22, Анонпитонер, 14:00, 18/12/2015 [ответить] [смотреть все]  
  • +5 +/
    Когда появляется бэкдор, это точно кому-то надо. Если серьёзная компания говорит о том, что она не знает откуда он взялся, это значит серьёзная компания под угрозой терморектального криптоанализа (либо за вкусный пончик) это сделала сама.
     
  • 1.23, Аноним, 14:22, 18/12/2015 [ответить] [смотреть все]  
  • +2 +/
    Это, вообще, как Их индусы до сих пор системой контроля версий пользоваться не ... весь текст скрыт [показать]
     
     
  • 2.29, Crazy Alex, 15:15, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Даже если в репе лежит коммит от Джона, это значит ровно то, что там есть коммит... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Наркоман, 18:52, 18/12/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    Для действительности коммиты подписывают ключом.
     
     
  • 4.50, Crazy Alex, 01:55, 19/12/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    В открытой разработке - да А в корпоративе - ни разу не видел То есть, может, ... весь текст скрыт [показать]
     
     
  • 5.51, Etch, 06:02, 19/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Значит этот Джон дважды виноват 1 - в утере ключа и 2 - в том, что не заметил л... весь текст скрыт [показать]
     
     
  • 6.52, Aleks Revo, 07:33, 19/12/2015 [^] [ответить] [смотреть все]  
  • +/
    С какого бы перепугу безусловно виноват Джон Он администрирует свою машину Клю... весь текст скрыт [показать]
     
     
  • 7.61, Etch, 23:36, 19/12/2015 [^] [ответить] [смотреть все]  
  • +/
    А с какого перепугу закрытый ключ Джона должен быть ещё у кого-то кроме него сам... весь текст скрыт [показать]
     
  • 3.64, Клыкастый, 11:29, 21/12/2015 [^] [ответить] [смотреть все]  
  • +/
    вырисовывается какой-то аццкий звездец в конторе, который лечится только тотальн... весь текст скрыт [показать]
     
     
  • 4.69, Аноним, 15:42, 19/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Вот именно такой способ кадрового управления и позволяет правильно подготовившей... весь текст скрыт [показать]
     
  • 1.28, Michael Shigorin, 15:02, 18/12/2015 [ответить] [смотреть все]  
  • –5 +/
    Немножко другое, но http t8 ru http rusteletech ru http metrotek spb ru... весь текст скрыт [показать]
     
     
  • 2.35, Эргил, 17:09, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Предлагаешь сразу покупать железки в которых есть бэкдоры от глубокого бурения ... весь текст скрыт [показать] [показать ветку]
     
  • 1.30, mitiok, 15:16, 18/12/2015 [ответить] [смотреть все]  
  • –1 +/
    мда, я являюсь счастливым домашним пользователем ssg20
     
  • 1.31, Аноним, 15:42, 18/12/2015 [ответить] [смотреть все]  
  • –1 +/
    Так че если анбшников не судят за то что малварь пишут бэкдоры и всякое такое Зн... весь текст скрыт [показать]
     
     
  • 2.32, Michael Shigorin, 15:47, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    он же памятник -- а что своё огребут, пока мало кто задумывается всерьёз хотя... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, Аноним, 17:49, 18/12/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Когда комитетские закладки в своём чудобутиве начнёте публиковать?
     
     
  • 4.67, Аноним, 02:26, 03/01/2016 [^] [ответить] [смотреть все]  
  • +/
    когда из ваших фантазий они воплотятся в реальность -- тогда и начнут
     
  • 2.39, nonymous, 19:03, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тебе - будет обязательно Им - нет ... весь текст скрыт [показать] [показать ветку]
     
  • 1.34, annual slayer, 17:04, 18/12/2015 [ответить] [смотреть все]  
  • +/
    > В настоящее время компания проводит расследование и пытается выявить каким образом мог быть внедрён вредоносный код.

    ну и кто поверит, что там нет системы контроля версий?

     
     
  • 2.41, Аноним, 20:32, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    прилетело нло и опубликовало этот бэкдор здесь.
     
  • 1.40, Аноним, 19:11, 18/12/2015 [ответить] [смотреть все]  
  • –5 +/
    Если в непонятную закрытую хрень закрытой компании кто-то напихал бекдоров так, ... весь текст скрыт [показать]
     
     
  • 2.42, Аноним, 20:35, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    было уже https wiki debian org SSLkeys ... весь текст скрыт [показать] [показать ветку]
     
  • 2.43, Аноним, 20:36, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В закрытой как раз легче плевать У меня сейчас на работе есть коллега, который ... весь текст скрыт [показать] [показать ветку]
     
  • 2.46, Michael Shigorin, 21:24, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Это про codeplex, что ли ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.65, Клыкастый, 11:31, 21/12/2015 [^] [ответить] [смотреть все]  
  • +/
    туше ... весь текст скрыт [показать]
     
  • 1.45, Геймер, 21:14, 18/12/2015 [ответить] [смотреть все]  
  • +4 +/
    А зачем после Видоус 10 стыдится и бэкдоры прятать. Прямым текстом в лицензии так писать, что "All your base are belong to us". Долой стыд!
     
     
  • 2.49, Аноним, 22:13, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Теперь не будут, будут делать также как MS
     
  • 1.54, Stanislav, 15:30, 19/12/2015 [ответить] [смотреть все]  
  • –1 +/
    Ага! А ничего что screenOS уже -цать как как dead? новых продуктов на нем нем, а старые только на барахолках. Ну раскопали, некроманты...
     
     
  • 2.55, Andrey Mitrofanov, 15:38, 19/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Для само-пиара друзей б3дешников самое оно Никаких отходов -- всё в дом Wновос... весь текст скрыт [показать] [показать ветку]
     
  • 1.56, Аноним, 16:13, 19/12/2015 [ответить] [смотреть все]  
  • +/
    Выпилить этот Telnet, не нужен он в Linux Это в виндах служба на службе сидит ... весь текст скрыт [показать]
     
     
  • 2.60, Аноним, 19:43, 19/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В нормальных осях он уже лет 12 как R I P ... весь текст скрыт [показать] [показать ветку]
     
  • 1.62, Аноним, 11:12, 21/12/2015 [ответить] [смотреть все]  
  • +1 +/
    Скоро в бекдорах уже бекдоры начнут выявлять ахах..
     
  • 1.66, N, 11:11, 22/12/2015 [ответить] [смотреть все]  
  • +/
    Вот оно хваленное железо от "жуниора")))))
    а говорили надежное сбер на нем сидит)))
     
     
  • 2.68, Аноним, 02:29, 03/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    директор Сбера тот еще фрукт
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList