Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Определён универсальный пароль для входа на межсетевые экран..."	+/–
Сообщение от opennews (?), 21-Дек-15, 14:58
Разработчики пакета Metasploit опубликовали (https://community.rapid7.com/community/infosec/blog/2015/12/...) результаты обратного инжиниринга бэкдора, на днях выявленного (https://www.opennet.ru/opennews/art.shtml?num=43543) в межсетевых экранах  Juniper ScreenOS. Так как компания Juniper привела лишь общие угрозы, которые несёт в себе бэкдор, многие энтузиасты подключились (https://www.imperialviolet.org/2015/12/19/juniper.html) к изучению различий между поражёнными бекдором прошивками (https://github.com/hdm/juniper-cve-2015-7755/tree/master/fir...) и устраняющими проблемы обновлениями. Изучение уязвимости, обеспечивающей удалённый вход в систему с правами администратора, показало, что для входа использован универсальный пароль, который был закамуфлирован под код вывода отладочных данных. В частности, используя пароль "<<< %s(un='%s') = %u" в сочетании   любым корректным именем пользователя (например, system) можно попасть в привилегированный shell. Часть бэкдора, обеспечивающая возможность расшифровки VPN, основана на использовании специально подобранного набора констант в генераторе псевдослучайных чисел EC PRNG, которые позволяли (https://www.opennet.ru/opennews/art.shtml?num=38768) создателям данных констант восстановить значение случайного числа и восстановить ключи шифрования для установленного из ScreenOS VPN-соединения. URL: https://community.rapid7.com/community/infosec/blog/2015/12/... Новость: https://www.opennet.ru/opennews/art.shtml?num=43559
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (-), 21-Дек-15, 15:07	+26 +/–
Всем администраторам межсетевых экранов Juniper рекомендуется срочно обновить бэкдор. //fixed
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #6

3. Сообщение от Andrey Mitrofanov (?), 21-Дек-15, 15:14	+5 +/–
>рекомендуется срочно обновить бэкдор. > //fixed Обновить же платную подписку на обновление бэкдоров!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от Наркоман (?), 21-Дек-15, 15:32	–11 +/–
Какие другие варианты, умник?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5, #20

5. Сообщение от evkogan (?), 21-Дек-15, 15:37	+4 +/–
> Какие другие варианты, умник? Может быть задуматься о замене поставщика?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7

6. Сообщение от анон (?), 21-Дек-15, 15:51	+11 +/–
Всем администраторам Juniper с открытыми наружу ssh/telnet небходимо срочно подготовится к расширению индивидуальных бэкдоров начальством.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #27

7. Сообщение от Нимано (?), 21-Дек-15, 15:59	+1 +/–
http://tools.cisco.com/security/center/content/CiscoSecurity... > Undocumented Test Interface in Cisco Small Business Devices Шило на мыло ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11

8. Сообщение от Аноним (-), 21-Дек-15, 16:13	+4 +/–
Знатный получился эпикфейл. И тебе универсальный пароль, и предсказуемый генератор случайных чисел. Теперь кто-нибудь в здравом уме будет пользоваться их железками?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #26

9. Сообщение от _KUL (ok), 21-Дек-15, 16:18	+/–
ScreenOS и JunOS это ведь однои тоже?! На srx100 не подходит ;'(
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

10. Сообщение от _KUL (ok), 21-Дек-15, 16:20	+/–
Ошибся, разного поля ягоды ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от тыц (?), 21-Дек-15, 16:25	+/–
"In March, 2013, Linksys was divested from Cisco and is now part of Belkin. For questions regarding all Linksys products, please contact the Belkin Incident Response Team at security@belkin.com."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #17

12. Сообщение от Сергей (??), 21-Дек-15, 16:27	+2 +/–
Ну если это в Juniper есть, то в циске и хуавее подано...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

14. Сообщение от Аноним (-), 21-Дек-15, 17:03	+/–
С цицками подобные скандалы ещё в середине 2000-х случались. Они тогда даже обещали засудить докладчиков, если те раскроют сведения на каком-то хакерском съезде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от непонятно (?), 21-Дек-15, 17:11	+1 +/–
> ...основана на использовании универсального пароля, который был закамуфлирован под код вывода отладочных данных. Вангую для аффторов бекдора первое место на http://www.ioccc.org/
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от nonymous (?), 21-Дек-15, 18:09	+1 +/–
> Теперь кто-нибудь в здравом уме будет пользоваться их железками? А выбор у сетевиков особо есть? Я серьёзно, если что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #21, #24

17. Сообщение от Нимано (?), 21-Дек-15, 18:34	+/–
> "In March, 2013, Linksys was divested from Cisco and is now part > of Belkin. For questions regarding all Linksys products, please contact the > Belkin Incident Response Team at security@belkin.com." https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0659 > WRVS4400N router with firmware 1.x through 1.1.13 https://software.cisco.com/download/release.html?mdfid=28244... > Release Date 25-FEB-2009 Они изобрели машину времени oO ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

20. Сообщение от pavlinux (ok), 21-Дек-15, 19:29	–1 +/–
D-Link адназначно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

21. Сообщение от RobotsCantPoop (?), 21-Дек-15, 21:09	+2 +/–
По-старинке -- куча сетевух в системнике, собственноручно настроенная ось. Хотя и это не даёт гарантий...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

22. Сообщение от InventoRs (ok), 21-Дек-15, 21:26	+/–
Вот и славный Juniper обосрался, железо у них хорошее, мне очень нравится, комиты, откаты, все шикарно, но вот так облажаться, это слов нету, ждем в JunOS что-то подобное, вот тогда надо готовиться к апокалипсису. К слову не много Juniper разочаровался, у меня EX3300 который держит несколько нод на кластере, так эта хрень тупо падает и перегружается, когда запускаю бэкапы, ноды подключены по 10Г к свичу, проблема в спец пакете который формируется во время бэкапа, который приводит к краху свича. juniper меня успешно отшили с этой проблемой, мол нет поддержки давай досвидания, ех написать бы крашилку под это дело, может тогда зашевелились бы.
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от aSkyRanger (?), 22-Дек-15, 02:23	–3 +/–
>> Теперь кто-нибудь в здравом уме будет пользоваться их железками? > А выбор у сетевиков особо есть? Я серьёзно, если что. Mikrotik
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #25

25. Сообщение от . (?), 22-Дек-15, 03:54	+4 +/–
Хорошо пошутил, молодец.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

26. Сообщение от anonymous (??), 22-Дек-15, 12:05	+/–
ScreenOS вообще-то уже legacy.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

27. Сообщение от Аноним (-), 23-Дек-15, 23:51	+/–
Смешно. :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

28. Сообщение от Аноним (-), 24-Дек-15, 02:34	+/–
Update: Juniper has confirmed that the authentication backdoor only applies to revisions 6.3.0r17, 6.3.0r18, 6.3.0r19, and 6.3.0r20
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Аноним (29), 24-Дек-15, 22:39	+/–
TRTTRTR
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема