Компания Juniper сообщила (http://forums.juniper.net/t5/Security-Incident-Response/Impo... о выявлении в операционной системе ScreenOS, которой комплектуются межсетевые экраны NetScreen (https://en.wikipedia.org/wiki/NetScreen_Technologies), скрытого бэкдора (CVE-2015-7755 (http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10... снабжённого функциями дешифровки соединений VPN и позволяющего удалённо получить доступ администратора на устройстве. Бэкдор выявлен в процессе внутреннего аудита, который показал наличие в составе ScreenOS постороннего кода.
В настоящее время компания проводит расследование и пытается выявить каким образом мог быть внедрён вредоносный код.
Компания Juniper отмечает, что к ней не поступало никаких сообщений о проблемах, которые могли быть связаны с возможном проявлением бэкдора. Скорее всего бэкдор широко не использовался и был оставлен для проведения единичных целевых атак. Проблема проявляется начиная с сентября 2012 года и затрагивает выпуски ScreenOS с 6.2.0r15 по 6.2.0r18 и 6.3.0r12 по 6.3.0r20. Всем пользователям устройств NetScreen рекомендуется срочно установить обновление прошивки (http://www.juniper.net/support/downloads/screenos.html). Исправление доступно в обновлениях 6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b, 6.3.0r18b и 6.3.0r19b.
Первая функция бэкдора позволяет получить полный доступ к устройству через SSH или telnet. Проникновение атакующих можно определить по характерным записям в логе, сигнализирующим о привилегированном входе в систему подозрительных пользователей. При этом допускается, что грамотные атакующие могут успешно замести следы и удалить из лога записи, сигнализирующие о проникновении в систему.Пример проявления использования бэкдора в логе:
<font color="#461b7e">
2015-12-17 09:00:00 system warn 00515 Admin user username1 has logged on via SSH from ....
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username1' at host ....2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from ....
2015-12-17 09:00:00 system warn 00528 SSH: Password authentication successful for admin user 'username2' at host ....
</font>Вторая функция бэкдора позволяет атакующему перехватить VPN-трафик и выполнить операции по его дешифровке. Признаки обнаружения перехвата VPN отсутствуют. Интересно, что в 2013 году произошла утечка (http://www.spiegel.de/international/world/catalog-reveals-ns... подготовленного в Агентстве национальной безопасности каталога, перечисляющего возможные способы получения контроля над потребительскими устройствами. В каталоге в том числе было упомянуто создание бэкдора для межсетевых экранов Juniper.
URL: http://arstechnica.com/security/2015/12/unauthorized-code-in.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43543
ага и установить обновление прошивки с другим скрытым бекдором, чтобы было одобрение от ваших федералов...никто не верит что бекдор от стороннего лица, а это ваш бекдор который уже засветился. вот чтобы прикрыть лавочку и выпускаете другую лавочку.
Аналогичная мысль пришла. Были приняты на работу новые сотрудники, и вот они по непроинструктированности это вот и заметили и где-то опубликовали. А поскольку, отпираться теперь уже неприлично, было принято решение выдать за обнаружение "непонятно кем внедрённого" бекдора.
> ага и установить обновление прошивки с другим скрытым бекдором, чтобы было одобрение
> от ваших федералов...
> никто не верит что бекдор от стороннего лица, а это ваш бекдор
> который уже засветился. вот чтобы прикрыть лавочку и выпускаете другую лавочку.Тоньше, тоньше.
Прорекламировать по полной, что у них есть внутренний аудит и они даже обнаруживают закладки, внедренные неизвестно кем, возможно якобы врагами. Чтобы клиенты поверили, расслабили булки и доверились внутреннему аудиту джунипера, не пытаясь проводить свой аудит.
По идеи же за такие вещи их огромные корпоративные клиенты могут засудить в пух и прах и компания обнищает?!
Я понял! Это засланный казачок от циски сделал, т.к. джуники начали активно конкурировать и ощутимо бить по карману!
Чей казачок вопрос спорный, но работает он в QA.
> Чей казачок вопрос спорный, но работает он в QA.С каких пор QA код смотреть и понимать может?
Вот засада, АНБ-шникам опять придется что то придумывать взамен. :)
Не волнуйтесь, ни один клозетсорсник АНБ стороной не обойдёт ;)
"что-то"
Это СПО, здесь каждый имеет право вносить свои изменения и если это кому-то не нравится, то пусть не использует. Автор бэкдора старался работал, а эти всё испортили. А если мне нужен этот бэкдор, но я нехочу возиться с исходниками, что мне делать?
> А если мне нужен этот бэкдор, но я нехочу возиться с исходниками, что мне делать?Перебарывать лень.
Это с каких пор жуниперо/циско-поделия стали СПО?
Если индивид мог свободно внести изменения то это СПО, ведь он же имел свободный доступ к исходникам этого ПО?
всегда были.
они, в отличие от остальных каннибализаторов xBSD - стабильно коммитили обратно все свои патчи. и бОльшую часть измнений - обсуждали весьма широко. вот сами железки, те да, за..чены, как и их пользователи, ментально и такой открытости и стадности сообщества как среди цискоидов - там нету. но не для всех - оно и плюс, возможно.
> Это СПОЗакусывать надо, прежде чем писать!
>> Это СПО
> Закусывать надо, прежде чем писать!Боюсь, наркоманам, которые по методичке орут "СПО! каждый!", никакая закусь не впрок.
Призовая ссылка: http://wiki.opennet.ru/MSSP
> Боюсь, наркоманам, которые по методичке орут "СПО! каждый!", никакая закусь не впрок.А если смесь снотворного и пургена?
Бэкдор тоже нужно иногда обновлять
Когда появляется бэкдор, это точно кому-то надо. Если серьёзная компания говорит о том, что она не знает откуда он взялся, это значит серьёзная компания под угрозой терморектального криптоанализа (либо за вкусный пончик) это сделала сама.
> и пытается выявить каким образом мог быть внедрён вредоносный кодЭто, вообще, как? Их индусы до сих пор системой контроля версий пользоваться не научились? Или у них билды делаются левой пяткой, а не автоматической системой?
Даже если в репе лежит коммит от Джона, это значит ровно то, что там есть коммит от Джона. Кто его сделал в действительности - вопрос отдельный.И в работу билд-сервера тоже можно вмешаться - от правки билд-скриптов до подмены исполняемых файлов. Часто то, что гарантированно внутри периметра, не слишком активно мониторят, а уж там, где разработка - там почти всегда есть куча чего-то нестандартного, что можно еще больше "кастомизировать".
Для действительности коммиты подписывают ключом.
В открытой разработке - да. А в корпоративе - ни разу не видел. То есть, может, где-то и подписывают, но определённо далеко не везде.Но даже если коммит подписан - это не означает автоматом, что хозяин подписи - реальный автор. Мог и ключ утечь, могли к его машине доступ получить.
А уж вмешательству в билд-сервер подписнные коммиты и подавно не помеха.
В общем, есть там што расследовать, если не хочешь, чтобы повторно прилетело.
Значит этот Джон дважды виноват: 1 - в утере ключа и 2 - в том, что не заметил левый коммит от своего имени.
С какого бы перепугу безусловно виноват Джон? Он администрирует свою машину? Ключ не мог утечь уровнем выше - обязательно из кармана Джона?
А с какого перепугу закрытый ключ Джона должен быть ещё у кого-то кроме него самого? В чём тогда смысл подписей?
> И в работу билд-сервера тоже можно вмешаться - от правки билд-скриптов до
> подмены исполняемых файлов. Часто то, что гарантированно внутри периметра, не слишком
> активно мониторят, а уж там, где разработка - там почти всегда
> есть куча чего-то нестандартного, что можно еще больше "кастомизировать".вырисовывается какой-то аццкий звездец в конторе, который лечится только тотальным геноцидом всех, кроме уборщиц.
Вот именно такой способ кадрового управления и позволяет правильно подготовившейся уборщице внедрять бэкдоры в серьёзных корпорациях. Ключи-то у неё уже есть. Всякие... :)
Немножко другое, но:
Предлагаешь сразу покупать железки в которых есть бэкдоры от глубокого бурения?
Спасибо, нет.
мда, я являюсь счастливым домашним пользователем ssg20
Так че если анбшников не судят за то что малварь пишут бэкдоры и всякое такое
Значит можно уже всем троянов писать и ничего не будет ?
Что то не пойму политику куда клонится можно или нельзя
> Так че если анбшников не судят"он же памятник" -- а что своё огребут, пока мало кто задумывается всерьёз (хотя и Сноуден вот появился, и книжка Джона Перкинса интересная была)...
Когда комитетские закладки в своём чудобутиве начнёте публиковать?
когда из ваших фантазий они воплотятся в реальность -- тогда и начнут
> Так че если анбшников не судят за то что малварь пишут бэкдоры
> и всякое такое
> Значит можно уже всем троянов писать и ничего не будет ?Тебе - будет обязательно. Им - нет.
> В настоящее время компания проводит расследование и пытается выявить каким образом мог быть внедрён вредоносный код.ну и кто поверит, что там нет системы контроля версий?
прилетело нло и опубликовало этот бэкдор здесь.
Если в непонятную закрытую хрень закрытой компании кто-то напихал бекдоров так, что никто не заметил, то что говорить об открытых кодопомойка? Наплюют туда кода, мейнтейнер сквозь пальцы посмотрит, а через 10 лет внезапно найдут...
> а через 10 лет внезапно найдут...было уже https://wiki.debian.org/SSLkeys
В закрытой как раз легче плевать. У меня сейчас на работе есть коллега, который периодически хвастается, как на старой работе в фармацевтической компании они бэкдоры вставляли, и как пользовались.В открытой больше шансов, что кто то посмотрит и явную дырень обнаружит. С дырками и эксплойтами сложнее.
> то что говорить об открытых кодопомойка? Наплюют туда кодаЭто про codeplex, что ли?
>> то что говорить об открытых кодопомойка? Наплюют туда кода
> Это про codeplex, что ли?туше!
А зачем после Видоус 10 стыдится и бэкдоры прятать. Прямым текстом в лицензии так писать, что "All your base are belong to us". Долой стыд!
Теперь не будут, будут делать также как MS
Ага! А ничего что screenOS уже -цать как как dead? новых продуктов на нем нем, а старые только на барахолках. Ну раскопали, некроманты...
> Ага! А ничего что screenOS уже -цать как как dead? новых продуктов
> на нем нем, а старые только на барахолках. Ну раскопали, некроманты...Для само-пиара друзей б3дешников самое оно. Никаких отходов -- всё в дом^Wновости.
Ну, ты сам подумай, не палить же им свежие актуальные бэкдоры? Да, и в этом нафталине заднедверей ещё достаточно припасено, если кто действительно купится на поставить "безопасное" обновление "против АНБ".
> получить полный доступ к устройству через SSH или telnetВыпилить этот Telnet, не нужен он в Linux. Это в виндах служба на службе сидит; потому и не знаешь что за что отвечает, а в Linux то он зачем прописан?
>> получить полный доступ к устройству через SSH или telnet
> Выпилить этот Telnet, не нужен он в Linux. Это в виндах служба
> на службе сидит; потому и не знаешь что за что отвечает,
> а в Linux то он зачем прописан?В нормальных осях он уже лет 12 как R.I.P.
Скоро в бекдорах уже бекдоры начнут выявлять ахах..
Вот оно хваленное железо от "жуниора")))))
а говорили надежное сбер на нем сидит)))
директор Сбера тот еще фрукт