Ситуация вокруг загадочного бекдора, обнаруженного в операционной системе компании Juniper Network, продолжает развиваться. К бекдору подобрали пароль, а компания Cisco спешно объявила о проведении глубокого аудита собственных продуктов.
В конце прошлой недели компания Juniper Network обнаружила в коде своей операционной системы бекдор неизвестного происхождения. Кто поместил его туда, пока неясно, выяснением подробностей сейчас занимаются спецслужбы США.
Juniper Network представила бюллетень безопасности, в котором рассказала об обнаруженной проблеме крайне абстрактно, почти без подробностей. Известно, что в коде ScreenOS обнаружили сразу две вредоносные модификации. Первая позволяет установить несанкционированный удаленный доступ к устройству, посредством SSH или Telnet. Эксплуатация данной бреши может привести к полной компрометации устройства. Вторая проблема еще серьезнее. Сообщается, что она позволяет хакеру получить полный доступ к системе и расшифровывать VPN-трафик, проходящий через ScreenOS и аппаратную платформу NetScreen.
Аутентификационный бекдор
Аналитики компании Rapid 7 решили самостоятельно изучить вопрос, раз уж информации от Juniper Network было крайне мало. Специалисты проверили код Juniper Network сами и поделились подробностями своих изысканий в блоге. В частности, появились интересные подробности относительно первой проблемы, затрагивающей SSH и Telnet соединения.
Эксперты Rapid 7 обнаружили жёстко закодированный пароль: <<< %s(un='%s') = %u, гарантирующий доступ с правами администратора. Этот универсальный «ключ от всех дверей» замаскирован под безобидную строку printf(), отвечающую за записи в логе диагностики. По словам экспертов, если не знать, что именно ищешь, обнаружить брешь практически невозможно. Тем не менее, команда Fox-IT справилась с задачей за 6 часов.
Hmmm. It took @foxit 6 hours to find the password for the ssh/telnet backdoor in the vulnerable Juniper firewalss. Patch now
— Ronald Prins (@cryptoron) December 18, 2015
Если использовать это «магическое» сочетание символов через SSH и Telnet, в качестве пароля, неважно, какой будет введет логин – доступ к устройству гарантирован в любом случае.
Специалисты Rapid 7 пишут, что, к сожалению, невозможно сказать, использовалась ли данная уязвимость ранее, так как злоумышленники легко могли подчищать за собой логи.
Команда Rapid 7 насчитала в интернете около 26 000 Netscreen-систем с открытым SSH. Эксперты подтвердили наличие бекдора в ScreenOS 6.3.0r17 и 6.3.0r19, но не смогли подтвердить в 6.3.0r15 и 6.3.0r16.
«Это интересно, так как первая проблемная версия датирована 2012 годом, но аутентификационный бекдор, похоже, был добавлен в более поздних релизах, в 2013 году: 6.3.0r15, 6.3.0r16 или 6.3.0r17», — сообщается в блоге Rapid 7.
VPN-бекдор
Что касается бекдора, допускающего расшифровку VPN-трафика, в проблеме попытался разобраться один из инженеров Google – Адам Ленгли (Adam Langley).
Ленгли предполагает, что проблема, скорее всего, касается криптографически стойкого генератора псевдослучайных чисел (Dual Elliptic Curve Deterministic Random Bit Generator, Dual EC DRBG). Похожая ситуация уже возникала в 2013 году. Тогда АНБ сумело создать бекдор для алгоритма шифрования и заплатило RSA 10 млн долларов, за внедрение бекдора в ее инструментарии.
«Если атакующие способны предсказывать числа, которые поставляет генератор, значит, они могут узнать ключи, которые использует одна из сторон (или обе стороны) VPN-соединения, и расшифровать их», — объясняет Ленгли.
Ранее Juniper Network Dual подтверждала, что использует стандарт Dual EC DRBG в своей операционной системе. Тем не менее, компания заявляла, что он не является генератором псевдослучайных чисел по умолчанию.
Cisco
Пока эксперты ищут ответы, а спецслужбы виновных, компания Cisco учредила аудит своих продуктов. Сообщается, что после случившегося с Juniper Network, компания ищет аналогичные вредоносные модификации в своих разработках.
Cisco строго придерживается политики «нет бекдорам» и сообщает, что нет никаких оснований полагать, что в их продукции могут содержаться проблемы, подобные найденным в ScreenOS. С компанией не связывались правоохранительные органы, и поводов для паники нет. Однако инженеры Cisco всё равно решили провести глубокий аудит, просто чтобы удостовериться, что всё в порядке.
«Хотя поиск стороннего ПО является для нас стандартной практикой, мы пришли к выводу, что исключить все риски полностью невозможно, — сообщила Cisco своим клиентам. — Дополнительные проверки будут включаться в себя тестирование на проникновение и аудит кода, который проведут высококвалифицированные инженеры, с большим опытом работы в области сетей и криптографии. Мы делаем это, потому что это правильно».
Фото: Matt Wargo