В межсетевых экранах Juniper выявлен бэкдор с функциями расшифровки трафика VPN

18.12.2015 10:41

Компания Juniper сообщила о выявлении в операционной системе ScreenOS, которой комплектуются межсетевые экраны NetScreen, скрытого бэкдора (CVE-2015-7755), снабжённого функциями дешифровки соединений VPN и позволяющего удалённо получить доступ администратора на устройстве. Бэкдор выявлен в процессе внутреннего аудита, который показал наличие в составе ScreenOS постороннего кода. В настоящее время компания проводит расследование и пытается выявить каким образом мог быть внедрён вредоносный код.

Компания Juniper отмечает, что к ней не поступало никаких сообщений о проблемах, которые могли быть связаны с возможном проявлением бэкдора. Скорее всего бэкдор широко не использовался и был оставлен для проведения единичных целевых атак. Проблема проявляется начиная с сентября 2012 года и затрагивает выпуски ScreenOS с 6.2.0r15 по 6.2.0r18 и 6.3.0r12 по 6.3.0r20. Всем пользователям устройств NetScreen рекомендуется срочно установить обновление прошивки. Исправление доступно в обновлениях 6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b, 6.3.0r18b и 6.3.0r19b.

Первая функция бэкдора позволяет получить полный доступ к устройству через SSH или telnet. Проникновение атакующих можно определить по характерным записям в логе, сигнализирующим о привилегированном входе в систему подозрительных пользователей. При этом допускается, что грамотные атакующие могут успешно замести следы и удалить из лога записи, сигнализирующие о проникновении в систему.

Пример проявления использования бэкдора в логе:



   2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from ....
   2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username1' at host ....

   2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from ....
   2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username2' at host ....

Вторая функция бэкдора позволяет атакующему перехватить VPN-трафик и выполнить операции по его дешифровке. Признаки обнаружения перехвата VPN отсутствуют. Интересно, что в 2013 году произошла утечка подготовленного в Агентстве национальной безопасности каталога, перечисляющего возможные способы получения контроля над потребительскими устройствами. В каталоге было упомянуто наличие вредоносного ПО "FEEDTROUGH", предназначенное для внедрения на межсетевые экраны Juniper. Наличие специализированного вредоносного ПО также было отмечено для устройств Cisco, Huawei и Dell.

Дополнение 1: Энтузиасты попытались провести обратный инжиниринг изменений в прошивке, чтобы понять суть работы бэкдора. Судя по всему, для расшифровки VPN использовался набор изменённых констант в генераторе псевдослучайных чисел EC PRNG, что позволяло генерировать предсказуемые ключи шифрования.

Дополнение 2: Опубликован детальный разбор бэкдора входа в систему с правами администратора. В том числе выявлен мастер-пароль "<<< %s(un='%s') = %u", позволяющий попасть в привилегированный shell указав любое корректное имя пользователя (например, system).

исправить +28 +/–

Главная ссылка к новости (http://arstechnica.com/securit...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/43543-juniper

Ключевые слова: juniper, backdoor, vpn

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (52)

1.1, eRIC (ok), 11:07, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+21 +/–
ага и установить обновление прошивки с другим скрытым бекдором, чтобы было одобрение от ваших федералов... никто не верит что бекдор от стороннего лица, а это ваш бекдор который уже засветился. вот чтобы прикрыть лавочку и выпускаете другую лавочку.

2.15, Аноним (-), 12:58, 18/12/2015 [^] [^^] [^^^] [ответить]	+3 +/–
Аналогичная мысль пришла. Были приняты на работу новые сотрудники, и вот они по непроинструктированности это вот и заметили и где-то опубликовали. А поскольку, отпираться теперь уже неприлично, было принято решение выдать за обнаружение "непонятно кем внедрённого" бекдора.

2.21, Аноним (-), 13:22, 18/12/2015 [^] [^^] [^^^] [ответить]

+2 +/–

> ага и установить обновление прошивки с другим скрытым бекдором, чтобы было одобрение
> от ваших федералов...
> никто не верит что бекдор от стороннего лица, а это ваш бекдор
> который уже засветился. вот чтобы прикрыть лавочку и выпускаете другую лавочку.

Тоньше, тоньше.

Прорекламировать по полной, что у них есть внутренний аудит и они даже обнаруживают закладки, внедренные неизвестно кем, возможно якобы врагами. Чтобы клиенты поверили, расслабили булки и доверились внутреннему аудиту джунипера, не пытаясь проводить свой аудит.

1.9, _KUL (ok), 12:14, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
По идеи же за такие вещи их огромные корпоративные клиенты могут засудить в пух и прах и компания обнищает?! Я понял! Это засланный казачок от циски сделал, т.к. джуники начали активно конкурировать и ощутимо бить по карману!

2.16, Меломан1 (?), 13:02, 18/12/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Чей казачок вопрос спорный, но работает он в QA.

3.57, программист (?), 16:15, 19/12/2015 [^] [^^] [^^^] [ответить]	–1 +/–
> Чей казачок вопрос спорный, но работает он в QA. С каких пор QA код смотреть и понимать может?

1.10, АнонимОС (?), 12:17, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Вот засада, АНБ-шникам опять придется что то придумывать взамен. :)

2.17, Аноним (-), 13:03, 18/12/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Не волнуйтесь, ни один клозетсорсник АНБ стороной не обойдёт ;)

2.20, GrammarNarziss (?), 13:14, 18/12/2015 [^] [^^] [^^^] [ответить]	+7 +/–
"что-то"

1.12, Аноним (-), 12:38, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Это СПО, здесь каждый имеет право вносить свои изменения и если это кому-то не нравится, то пусть не использует. Автор бэкдора старался работал, а эти всё испортили. А если мне нужен этот бэкдор, но я нехочу возиться с исходниками, что мне делать?

2.13, iZEN (ok), 12:49, 18/12/2015 [^] [^^] [^^^] [ответить]	–1 +/–
> А если мне нужен этот бэкдор, но я нехочу возиться с исходниками, что мне делать? Перебарывать лень.

2.18, Аноним (-), 13:07, 18/12/2015 [^] [^^] [^^^] [ответить]	+12 +/–
Это с каких пор жуниперо/циско-поделия стали СПО?

3.26, Аноним (-), 14:39, 18/12/2015 [^] [^^] [^^^] [ответить]	–3 +/–
Если индивид мог свободно внести изменения то это СПО, ведь он же имел свободный доступ к исходникам этого ПО?

3.48, Аноним (-), 21:53, 18/12/2015 [^] [^^] [^^^] [ответить]	–2 +/–
всегда были. они, в отличие от остальных каннибализаторов xBSD - стабильно коммитили обратно все свои патчи. и бОльшую часть измнений - обсуждали весьма широко. вот сами железки, те да, за..чены, как и их пользователи, ментально и такой открытости и стадности сообщества как среди цискоидов - там нету. но не для всех - оно и плюс, возможно.

2.19, Аноним (-), 13:10, 18/12/2015 [^] [^^] [^^^] [ответить]	+8 +/–
> Это СПО Закусывать надо, прежде чем писать!

3.27, Michael Shigorin (ok), 14:59, 18/12/2015 [^] [^^] [^^^] [ответить]

+1 +/–

>> Это СПО
> Закусывать надо, прежде чем писать!

Боюсь, наркоманам, которые по методичке орут "СПО! каждый!", никакая закусь не впрок.

Призовая ссылка: http://wiki.opennet.ru/MSSP

4.63, Клыкастый (ok), 11:27, 21/12/2015 [^] [^^] [^^^] [ответить]	+1 +/–
> Боюсь, наркоманам, которые по методичке орут "СПО! каждый!", никакая закусь не впрок. А если смесь снотворного и пургена?

1.14, Аноним (-), 12:51, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+12 +/–
Бэкдор тоже нужно иногда обновлять

1.22, Анонпитонер (?), 14:00, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Когда появляется бэкдор, это точно кому-то надо. Если серьёзная компания говорит о том, что она не знает откуда он взялся, это значит серьёзная компания под угрозой терморектального криптоанализа (либо за вкусный пончик) это сделала сама.

1.23, Аноним (-), 14:22, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> и пытается выявить каким образом мог быть внедрён вредоносный код Это, вообще, как? Их индусы до сих пор системой контроля версий пользоваться не научились? Или у них билды делаются левой пяткой, а не автоматической системой?

2.29, Crazy Alex (ok), 15:15, 18/12/2015 [^] [^^] [^^^] [ответить]	+/–
Даже если в репе лежит коммит от Джона, это значит ровно то, что там есть коммит от Джона. Кто его сделал в действительности - вопрос отдельный. И в работу билд-сервера тоже можно вмешаться - от правки билд-скриптов до подмены исполняемых файлов. Часто то, что гарантированно внутри периметра, не слишком активно мониторят, а уж там, где разработка - там почти всегда есть куча чего-то нестандартного, что можно еще больше "кастомизировать".

3.38, Наркоман (?), 18:52, 18/12/2015 [^] [^^] [^^^] [ответить]	+3 +/–
Для действительности коммиты подписывают ключом.

4.50, Crazy Alex (ok), 01:55, 19/12/2015 [^] [^^] [^^^] [ответить]

+2 +/–

В открытой разработке - да. А в корпоративе - ни разу не видел. То есть, может, где-то и подписывают, но определённо далеко не везде.

Но даже если коммит подписан - это не означает автоматом, что хозяин подписи - реальный автор. Мог и ключ утечь, могли к его машине доступ получить.

А уж вмешательству в билд-сервер подписнные коммиты и подавно не помеха.
В общем, есть там што расследовать, если не хочешь, чтобы повторно прилетело.

5.51, Etch (?), 06:02, 19/12/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Значит этот Джон дважды виноват: 1 - в утере ключа и 2 - в том, что не заметил левый коммит от своего имени.

6.52, Aleks Revo (ok), 07:33, 19/12/2015 [^] [^^] [^^^] [ответить]	+/–
С какого бы перепугу безусловно виноват Джон? Он администрирует свою машину? Ключ не мог утечь уровнем выше - обязательно из кармана Джона?

7.61, Etch (?), 23:36, 19/12/2015 [^] [^^] [^^^] [ответить]	+/–
А с какого перепугу закрытый ключ Джона должен быть ещё у кого-то кроме него самого? В чём тогда смысл подписей?

3.64, Клыкастый (ok), 11:29, 21/12/2015 [^] [^^] [^^^] [ответить]

+/–

> И в работу билд-сервера тоже можно вмешаться - от правки билд-скриптов до
> подмены исполняемых файлов. Часто то, что гарантированно внутри периметра, не слишком
> активно мониторят, а уж там, где разработка - там почти всегда
> есть куча чего-то нестандартного, что можно еще больше "кастомизировать".

вырисовывается какой-то аццкий звездец в конторе, который лечится только тотальным геноцидом всех, кроме уборщиц.

4.69, Аноним (-), 15:42, 19/01/2016 [^] [^^] [^^^] [ответить]	+/–
Вот именно такой способ кадрового управления и позволяет правильно подготовившейся уборщице внедрять бэкдоры в серьёзных корпорациях. Ключи-то у неё уже есть. Всякие... :)

1.28, Michael Shigorin (ok), 15:02, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Немножко другое, но: http://t8.ru http://rusteletech.ru http://metrotek.spb.ru

2.35, Эргил (ok), 17:09, 18/12/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Предлагаешь сразу покупать железки в которых есть бэкдоры от глубокого бурения? Спасибо, нет.

1.30, mitiok (??), 15:16, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
мда, я являюсь счастливым домашним пользователем ssg20

1.31, Аноним (-), 15:42, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Так че если анбшников не судят за то что малварь пишут бэкдоры и всякое такое Значит можно уже всем троянов писать и ничего не будет ? Что то не пойму политику куда клонится можно или нельзя

2.32, Michael Shigorin (ok), 15:47, 18/12/2015 [^] [^^] [^^^] [ответить]	–2 +/–
> Так че если анбшников не судят "он же памятник" -- а что своё огребут, пока мало кто задумывается всерьёз (хотя и Сноуден вот появился, и книжка Джона Перкинса интересная была)...

3.36, Аноним (-), 17:49, 18/12/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Когда комитетские закладки в своём чудобутиве начнёте публиковать?

4.67, Аноним (-), 02:26, 03/01/2016 [^] [^^] [^^^] [ответить]	+/–
когда из ваших фантазий они воплотятся в реальность -- тогда и начнут

2.39, nonymous (?), 19:03, 18/12/2015 [^] [^^] [^^^] [ответить]

+/–

> Так че если анбшников не судят за то что малварь пишут бэкдоры
> и всякое такое
> Значит можно уже всем троянов писать и ничего не будет ?

Тебе - будет обязательно. Им - нет.

1.34, annual slayer (?), 17:04, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> В настоящее время компания проводит расследование и пытается выявить каким образом мог быть внедрён вредоносный код. ну и кто поверит, что там нет системы контроля версий?

2.41, Аноним (-), 20:32, 18/12/2015 [^] [^^] [^^^] [ответить]	+4 +/–
прилетело нло и опубликовало этот бэкдор здесь.

1.40, Аноним (-), 19:11, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Если в непонятную закрытую хрень закрытой компании кто-то напихал бекдоров так, что никто не заметил, то что говорить об открытых кодопомойка? Наплюют туда кода, мейнтейнер сквозь пальцы посмотрит, а через 10 лет внезапно найдут...

2.42, Аноним (-), 20:35, 18/12/2015 [^] [^^] [^^^] [ответить]	+1 +/–
> а через 10 лет внезапно найдут... было уже https://wiki.debian.org/SSLkeys

2.43, Аноним (-), 20:36, 18/12/2015 [^] [^^] [^^^] [ответить]	+/–
В закрытой как раз легче плевать. У меня сейчас на работе есть коллега, который периодически хвастается, как на старой работе в фармацевтической компании они бэкдоры вставляли, и как пользовались. В открытой больше шансов, что кто то посмотрит и явную дырень обнаружит. С дырками и эксплойтами сложнее.

2.46, Michael Shigorin (ok), 21:24, 18/12/2015 [^] [^^] [^^^] [ответить]	+1 +/–
> то что говорить об открытых кодопомойка? Наплюют туда кода Это про codeplex, что ли?

3.65, Клыкастый (ok), 11:31, 21/12/2015 [^] [^^] [^^^] [ответить]	+/–
>> то что говорить об открытых кодопомойка? Наплюют туда кода > Это про codeplex, что ли? туше!

1.45, Геймер (?), 21:14, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
А зачем после Видоус 10 стыдится и бэкдоры прятать. Прямым текстом в лицензии так писать, что "All your base are belong to us". Долой стыд!

2.49, Аноним (-), 22:13, 18/12/2015 [^] [^^] [^^^] [ответить]	+/–
Теперь не будут, будут делать также как MS

1.54, Stanislav (??), 15:30, 19/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Ага! А ничего что screenOS уже -цать как как dead? новых продуктов на нем нем, а старые только на барахолках. Ну раскопали, некроманты...

2.55, Andrey Mitrofanov (?), 15:38, 19/12/2015 [^] [^^] [^^^] [ответить]

–2 +/–

> Ага! А ничего что screenOS уже -цать как как dead? новых продуктов
> на нем нем, а старые только на барахолках. Ну раскопали, некроманты...

Для само-пиара друзей б3дешников самое оно. Никаких отходов -- всё в дом^Wновости.

Ну, ты сам подумай, не палить же им свежие актуальные бэкдоры? Да, и в этом нафталине заднедверей ещё достаточно припасено, если кто действительно купится на поставить "безопасное" обновление "против АНБ".

1.56, Аноним (-), 16:13, 19/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> получить полный доступ к устройству через SSH или telnet Выпилить этот Telnet, не нужен он в Linux. Это в виндах служба на службе сидит; потому и не знаешь что за что отвечает, а в Linux то он зачем прописан?

2.60, Аноним (-), 19:43, 19/12/2015 [^] [^^] [^^^] [ответить]	+/–
>> получить полный доступ к устройству через SSH или telnet > Выпилить этот Telnet, не нужен он в Linux. Это в виндах служба > на службе сидит; потому и не знаешь что за что отвечает, > а в Linux то он зачем прописан? В нормальных осях он уже лет 12 как R.I.P.

1.62, Аноним (-), 11:12, 21/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Скоро в бекдорах уже бекдоры начнут выявлять ахах..

1.66, N (?), 11:11, 22/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот оно хваленное железо от "жуниора"))))) а говорили надежное сбер на нем сидит)))

2.68, Аноним (-), 02:29, 03/01/2016 [^] [^^] [^^^] [ответить]	+/–
директор Сбера тот еще фрукт

игнорирование участников | лог модерирования

Добавить комментарий

Текст: