В межсетевых экранах Juniper обнаружен бэкдор

В межсетевых экранах Juniper обнаружен бэкдор

Неавторизованный код послужил причиной появления трех проблем, позволявших скомпрометировать ОС.

Производитель телекоммуникационного оборудования Juniper Networks выпустил экстренные патчи с исправлением ряда критических уязвимостей в операционной системе ScreenOS.

Согласно опубликованным бюллетеням безопасности, специалисты компании обнаружили в операционной системе неавторизованный код, послуживший причиной появления трех проблем, позволяющих злоумышленнику удаленно получить доступ с правами администратора к устройствам Juniper NetScreen и расшифровать VPN-трафик.

В настоящее время неизвестно, каким образом бэкдор оказался в системе и какое время там находился. Предположительно, бэкдор появился в версиях ПО, выпущенных в 2012 году или ранее. В настоящее время нет сведений о наличии бэкдора в других продуктах Juniper.

Две уязвимости (CVE-2015-7755) затрагивают версии ScreenOS 6.2.0r15-6.2.0r18 и 6.3.0r12-6.3.0r20. Первая позволяет злоумышленнику через SSH или Telnet получить к устройству удаленный доступ с правами администратора. Успешная эксплуатация проблемы может привести к компрометации целевой системы. С помощью второй уязвимости злоумышленник может расшифровать VPN-трафик.

Последняя уязвимость (CVE-2015-7754) распространяется только на версию ScreenOS 6.3.0r20. Проблема вызвана ошибкой при обработке входных данных во время обработки SSH-переговоров. Злоумышленник может с помощью специально сформированных SSH-пакетов вызвать аварийное завершение работы устройства или выполнить произвольный код на системе.

В настоящее время нет данных об активной эксплуатации вышеуказанных уязвимостей. Патчи доступны на странице поддержки производителя.

Juniper Netscreen - семейство универсальных продуктов, сочетающих функции межсетевого экрана, VPN-шлюза/концентратора, маршрутизатора и пр. Все модели межсетевых экранов серии Juniper NetScreen используют единую операционную систему ScreenOS.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.