Новости

В межсетевых экранах «Juniper» выявлен бэкдор с функциями дешифрования трафика VPN

23.12.2015
В межсетевых экранах «Juniper» выявлен бэкдор с функциями дешифрования трафика VPN
17.12.2015 компания «Juniper» сообщила о выявлении вредоносного кода в операционной системе «ScreenOS» (версий 6.2.0r15 – 6.2.0r18 и 6.3.0r12 – 6.3.0r20), которой комплектуются межсетевые экраны модели «NetScreen».

С помощью вредоносного кода на устройства устанавливается бэкдор, позволяющий удалённо по протоколам SSH или Telnet получить полный доступ к устройству с правами администратора, перехватить трафик, передающийся через VPN-соединения, и выполнить операции по его дешифрованию. Для дешифрования трафика, предположительно, использовался набор изменённых констант в генераторе псевдослучайных чисел EC PRNG, что позволяло генерировать предсказуемые ключи шифрования.

Проникновение атакующих можно определить по записям в логе, свидетельствующим о входе в систему пользователей с привилегированными правами. При этом допускается, что квалифицированные атакующие могут успешно скрыть следы своего проникновения в систему, удали из лога указанные записи.

Стоит отметить, что схожее по функционалу вредоносное программное обеспечение разрабатывалось в АНБ США с целью внедрения на межсетевые экраны «Juniper». Инструмент получил название «FEEDTROUGH». Об этом упоминалось в каталоге АНБ, утечка которого произошла в 2013 году. В документе также содержались сведения о возможных способах получения контроля над устройствами компаний «Cisco», «Huawei» и «Dell».

Компания «Juniper» выпустила обновления, исправляющие данную уязвимость в межсетевых экранах модели «NetScreen» (CVE-2015-7755): 6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b, 6.3.0r18b и 6.3.0r19b.