The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В межсетевых экранах Juniper выявлен бэкдор с функциями расшифровки трафика VPN

18.12.2015 10:41

Компания Juniper сообщила о выявлении в операционной системе ScreenOS, которой комплектуются межсетевые экраны NetScreen, скрытого бэкдора (CVE-2015-7755), снабжённого функциями дешифровки соединений VPN и позволяющего удалённо получить доступ администратора на устройстве. Бэкдор выявлен в процессе внутреннего аудита, который показал наличие в составе ScreenOS постороннего кода. В настоящее время компания проводит расследование и пытается выявить каким образом мог быть внедрён вредоносный код.

Компания Juniper отмечает, что к ней не поступало никаких сообщений о проблемах, которые могли быть связаны с возможном проявлением бэкдора. Скорее всего бэкдор широко не использовался и был оставлен для проведения единичных целевых атак. Проблема проявляется начиная с сентября 2012 года и затрагивает выпуски ScreenOS с 6.2.0r15 по 6.2.0r18 и 6.3.0r12 по 6.3.0r20. Всем пользователям устройств NetScreen рекомендуется срочно установить обновление прошивки. Исправление доступно в обновлениях 6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b, 6.3.0r18b и 6.3.0r19b.

Первая функция бэкдора позволяет получить полный доступ к устройству через SSH или telnet. Проникновение атакующих можно определить по характерным записям в логе, сигнализирующим о привилегированном входе в систему подозрительных пользователей. При этом допускается, что грамотные атакующие могут успешно замести следы и удалить из лога записи, сигнализирующие о проникновении в систему.

Пример проявления использования бэкдора в логе:



   2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from ....
   2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username1' at host ....

   2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from ....
   2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username2' at host ....

Вторая функция бэкдора позволяет атакующему перехватить VPN-трафик и выполнить операции по его дешифровке. Признаки обнаружения перехвата VPN отсутствуют. Интересно, что в 2013 году произошла утечка подготовленного в Агентстве национальной безопасности каталога, перечисляющего возможные способы получения контроля над потребительскими устройствами. В каталоге было упомянуто наличие вредоносного ПО "FEEDTROUGH", предназначенное для внедрения на межсетевые экраны Juniper. Наличие специализированного вредоносного ПО также было отмечено для устройств Cisco, Huawei и Dell.

Дополнение 1: Энтузиасты попытались провести обратный инжиниринг изменений в прошивке, чтобы понять суть работы бэкдора. Судя по всему, для расшифровки VPN использовался набор изменённых констант в генераторе псевдослучайных чисел EC PRNG, что позволяло генерировать предсказуемые ключи шифрования.

Дополнение 2: Опубликован детальный разбор бэкдора входа в систему с правами администратора. В том числе выявлен мастер-пароль "<<< %s(un='%s') = %u", позволяющий попасть в привилегированный shell указав любое корректное имя пользователя (например, system).

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43543-juniper
Ключевые слова: juniper, backdoor, vpn
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (52) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, eRIC (ok), 11:07, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    ага и установить обновление прошивки с другим скрытым бекдором, чтобы было одобрение от ваших федералов...

    никто не верит что бекдор от стороннего лица, а это ваш бекдор который уже засветился. вот чтобы прикрыть лавочку и выпускаете другую лавочку.

     
     
  • 2.15, Аноним (-), 12:58, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Аналогичная мысль пришла. Были приняты на работу новые сотрудники, и вот они по непроинструктированности это вот и заметили и где-то опубликовали. А поскольку, отпираться теперь уже неприлично, было принято решение выдать за обнаружение "непонятно кем внедрённого" бекдора.
     
  • 2.21, Аноним (-), 13:22, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ага и установить обновление прошивки с другим скрытым бекдором, чтобы было одобрение
    > от ваших федералов...
    > никто не верит что бекдор от стороннего лица, а это ваш бекдор
    > который уже засветился. вот чтобы прикрыть лавочку и выпускаете другую лавочку.

    Тоньше, тоньше.

    Прорекламировать по полной, что у них есть внутренний аудит и они даже обнаруживают закладки, внедренные неизвестно кем, возможно якобы врагами. Чтобы клиенты поверили, расслабили булки и доверились внутреннему аудиту джунипера, не пытаясь проводить свой аудит.

     

  • 1.9, _KUL (ok), 12:14, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    По идеи же за такие вещи их огромные корпоративные клиенты могут засудить в пух и прах и компания обнищает?!
    Я понял! Это засланный казачок от циски сделал, т.к. джуники начали активно конкурировать и ощутимо бить по карману!
     
     
  • 2.16, Меломан1 (?), 13:02, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чей казачок вопрос спорный, но работает он в QA.
     
     
  • 3.57, программист (?), 16:15, 19/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Чей казачок вопрос спорный, но работает он в QA.

    С каких пор QA код смотреть и понимать может?

     

  • 1.10, АнонимОС (?), 12:17, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот засада, АНБ-шникам опять придется что то придумывать взамен. :)
     
     
  • 2.17, Аноним (-), 13:03, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не волнуйтесь, ни один клозетсорсник АНБ стороной не обойдёт ;)
     
  • 2.20, GrammarNarziss (?), 13:14, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +7 +/
    "что-то"
     

  • 1.12, Аноним (-), 12:38, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Это СПО, здесь каждый имеет право вносить свои изменения и если это кому-то не нравится, то пусть не использует. Автор бэкдора старался работал, а эти всё испортили. А если мне нужен этот бэкдор, но я нехочу возиться с исходниками, что мне делать?
     
     
  • 2.13, iZEN (ok), 12:49, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А если мне нужен этот бэкдор, но я нехочу возиться с исходниками, что мне делать?

    Перебарывать лень.

     
  • 2.18, Аноним (-), 13:07, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Это с каких пор жуниперо/циско-поделия стали СПО?
     
     
  • 3.26, Аноним (-), 14:39, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Если индивид мог свободно внести изменения то это СПО, ведь он же имел свободный доступ к исходникам этого ПО?
     
  • 3.48, Аноним (-), 21:53, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    всегда были.
    они, в отличие от остальных каннибализаторов xBSD - стабильно коммитили обратно все свои патчи. и бОльшую часть измнений - обсуждали весьма широко. вот сами железки, те да, за..чены, как и их пользователи, ментально и такой открытости и стадности сообщества как среди цискоидов - там нету. но не для всех - оно и плюс, возможно.
     
  • 2.19, Аноним (-), 13:10, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Это СПО

    Закусывать надо, прежде чем писать!

     
     
  • 3.27, Michael Shigorin (ok), 14:59, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Это СПО
    > Закусывать надо, прежде чем писать!

    Боюсь, наркоманам, которые по методичке орут "СПО! каждый!", никакая закусь не впрок.

    Призовая ссылка: http://wiki.opennet.ru/MSSP

     
     
  • 4.63, Клыкастый (ok), 11:27, 21/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Боюсь, наркоманам, которые по методичке орут "СПО! каждый!", никакая закусь не впрок.

    А если смесь снотворного и пургена?

     

  • 1.14, Аноним (-), 12:51, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Бэкдор тоже нужно иногда обновлять
     
  • 1.22, Анонпитонер (?), 14:00, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Когда появляется бэкдор, это точно кому-то надо. Если серьёзная компания говорит о том, что она не знает откуда он взялся, это значит серьёзная компания под угрозой терморектального криптоанализа (либо за вкусный пончик) это сделала сама.
     
  • 1.23, Аноним (-), 14:22, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > и пытается выявить каким образом мог быть внедрён вредоносный код

    Это, вообще, как? Их индусы до сих пор системой контроля версий пользоваться не научились? Или у них билды делаются левой пяткой, а не автоматической системой?

     
     
  • 2.29, Crazy Alex (ok), 15:15, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Даже если в репе лежит коммит от Джона, это значит ровно то, что там есть коммит от Джона. Кто его сделал в действительности - вопрос отдельный.

    И в работу билд-сервера тоже можно вмешаться - от правки билд-скриптов до подмены исполняемых файлов. Часто то, что гарантированно внутри периметра, не слишком активно мониторят, а уж там, где разработка - там почти всегда есть куча чего-то нестандартного, что можно еще больше "кастомизировать".

     
     
  • 3.38, Наркоман (?), 18:52, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Для действительности коммиты подписывают ключом.
     
     
  • 4.50, Crazy Alex (ok), 01:55, 19/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В открытой разработке - да. А в корпоративе - ни разу не видел. То есть, может, где-то и подписывают, но определённо далеко не везде.

    Но даже если коммит подписан - это не означает автоматом, что хозяин подписи - реальный автор. Мог и ключ утечь, могли к его машине доступ получить.

    А уж вмешательству в билд-сервер подписнные коммиты и подавно не помеха.
    В общем, есть там што расследовать, если не хочешь, чтобы повторно прилетело.

     
     
  • 5.51, Etch (?), 06:02, 19/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Значит этот Джон дважды виноват: 1 - в утере ключа и 2 - в том, что не заметил левый коммит от своего имени.
     
     
  • 6.52, Aleks Revo (ok), 07:33, 19/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    С какого бы перепугу безусловно виноват Джон? Он администрирует свою машину? Ключ не мог утечь уровнем выше - обязательно из кармана Джона?
     
     
  • 7.61, Etch (?), 23:36, 19/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А с какого перепугу закрытый ключ Джона должен быть ещё у кого-то кроме него самого? В чём тогда смысл подписей?
     
  • 3.64, Клыкастый (ok), 11:29, 21/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > И в работу билд-сервера тоже можно вмешаться - от правки билд-скриптов до
    > подмены исполняемых файлов. Часто то, что гарантированно внутри периметра, не слишком
    > активно мониторят, а уж там, где разработка - там почти всегда
    > есть куча чего-то нестандартного, что можно еще больше "кастомизировать".

    вырисовывается какой-то аццкий звездец в конторе, который лечится только тотальным геноцидом всех, кроме уборщиц.

     
     
  • 4.69, Аноним (-), 15:42, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно такой способ кадрового управления и позволяет правильно подготовившейся уборщице внедрять бэкдоры в серьёзных корпорациях. Ключи-то у неё уже есть. Всякие... :)
     

  • 1.28, Michael Shigorin (ok), 15:02, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Немножко другое, но:

    http://t8.ru
    http://rusteletech.ru
    http://metrotek.spb.ru

     
     
  • 2.35, Эргил (ok), 17:09, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Предлагаешь сразу покупать железки в которых есть бэкдоры от глубокого бурения?
    Спасибо, нет.
     

  • 1.30, mitiok (??), 15:16, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    мда, я являюсь счастливым домашним пользователем ssg20
     
  • 1.31, Аноним (-), 15:42, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Так че если анбшников не судят за то что малварь пишут бэкдоры и всякое такое
    Значит можно уже всем троянов писать и ничего не будет ?
    Что то не пойму политику куда клонится можно или нельзя
     
     
  • 2.32, Michael Shigorin (ok), 15:47, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Так че если анбшников не судят

    "он же памятник" -- а что своё огребут, пока мало кто задумывается всерьёз (хотя и Сноуден вот появился, и книжка Джона Перкинса интересная была)...

     
     
  • 3.36, Аноним (-), 17:49, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Когда комитетские закладки в своём чудобутиве начнёте публиковать?
     
     
  • 4.67, Аноним (-), 02:26, 03/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    когда из ваших фантазий они воплотятся в реальность -- тогда и начнут
     
  • 2.39, nonymous (?), 19:03, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Так че если анбшников не судят за то что малварь пишут бэкдоры
    > и всякое такое
    > Значит можно уже всем троянов писать и ничего не будет ?

    Тебе - будет обязательно. Им - нет.


     

  • 1.34, annual slayer (?), 17:04, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В настоящее время компания проводит расследование и пытается выявить каким образом мог быть внедрён вредоносный код.

    ну и кто поверит, что там нет системы контроля версий?

     
     
  • 2.41, Аноним (-), 20:32, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    прилетело нло и опубликовало этот бэкдор здесь.
     

  • 1.40, Аноним (-), 19:11, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Если в непонятную закрытую хрень закрытой компании кто-то напихал бекдоров так, что никто не заметил, то что говорить об открытых кодопомойка? Наплюют туда кода, мейнтейнер сквозь пальцы посмотрит, а через 10 лет внезапно найдут...
     
     
  • 2.42, Аноним (-), 20:35, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а через 10 лет внезапно найдут...

    было уже https://wiki.debian.org/SSLkeys

     
  • 2.43, Аноним (-), 20:36, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В закрытой как раз легче плевать. У меня сейчас на работе есть коллега, который периодически хвастается, как на старой работе в фармацевтической компании они бэкдоры вставляли, и как пользовались.

    В открытой больше шансов, что кто то посмотрит и явную дырень обнаружит. С дырками и эксплойтами сложнее.

     
  • 2.46, Michael Shigorin (ok), 21:24, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > то что говорить об открытых кодопомойка? Наплюют туда кода

    Это про codeplex, что ли?

     
     
  • 3.65, Клыкастый (ok), 11:31, 21/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> то что говорить об открытых кодопомойка? Наплюют туда кода
    > Это про codeplex, что ли?

    туше!

     

  • 1.45, Геймер (?), 21:14, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    А зачем после Видоус 10 стыдится и бэкдоры прятать. Прямым текстом в лицензии так писать, что "All your base are belong to us". Долой стыд!
     
     
  • 2.49, Аноним (-), 22:13, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь не будут, будут делать также как MS
     

  • 1.54, Stanislav (??), 15:30, 19/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ага! А ничего что screenOS уже -цать как как dead? новых продуктов на нем нем, а старые только на барахолках. Ну раскопали, некроманты...
     
     
  • 2.55, Andrey Mitrofanov (?), 15:38, 19/12/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ага! А ничего что screenOS уже -цать как как dead? новых продуктов
    > на нем нем, а старые только на барахолках. Ну раскопали, некроманты...

    Для само-пиара друзей б3дешников самое оно.  Никаких отходов -- всё в дом^Wновости.

    Ну, ты сам подумай, не палить же им свежие актуальные бэкдоры?  Да, и в этом нафталине заднедверей ещё достаточно припасено, если кто действительно купится на поставить "безопасное" обновление "против АНБ".

     

  • 1.56, Аноним (-), 16:13, 19/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > получить полный доступ к устройству через SSH или telnet

    Выпилить этот Telnet, не нужен он в Linux. Это в виндах служба на службе сидит; потому и не знаешь что за что отвечает, а в Linux то он зачем прописан?

     
     
  • 2.60, Аноним (-), 19:43, 19/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> получить полный доступ к устройству через SSH или telnet
    > Выпилить этот Telnet, не нужен он в Linux. Это в виндах служба
    > на службе сидит; потому и не знаешь что за что отвечает,
    > а в Linux то он зачем прописан?

    В нормальных осях он уже лет 12 как R.I.P.

     

  • 1.62, Аноним (-), 11:12, 21/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Скоро в бекдорах уже бекдоры начнут выявлять ахах..
     
  • 1.66, N (?), 11:11, 22/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот оно хваленное железо от "жуниора")))))
    а говорили надежное сбер на нем сидит)))
     
     
  • 2.68, Аноним (-), 02:29, 03/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    директор Сбера тот еще фрукт
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру