АНБ знало о бекдоре в софте Juniper Networks

АНБ знало о бекдоре в софте Juniper Networks

В середине декабря 2015 года в исходном коде операционной системы ScreenOS компании Juniper Network был выявленпосторонний код. Тогда разработчики обнаружили в своей ОС два опасных бекдора, но кто поместил их в код, было совершенно неясно.

Теперь издание The Intercept опубликовало новый секретный документ из файлов Сноудена, который гласит, что о бекдорах точно знали сотрудники АНБ.

Ранее уже сообщалось, что власти США отрицают всякую причастность американских спецслужб к появлению в ScreenOS постороннего кода. Однако даже если сотрудники АНБ не помещали бекдоры в код операционной системы лично, это не снимает с них вины. По данным The Intercept, АНБ знало о существовании «закладок» в коде с 2011 года, но предпочитало об этом молчать.

Опубликованный изданием 6-страничный документ датирован февралем 2011 года. Согласно этой бумаге, Управление правительственной связи Великобритании (Government Communications Headquarter, GCHQ), совместно с АНБ выявили ряд уязвимостей в 13 различных файерволах компании Juniper Networks (NS5gt, N25, NS50, NS500, NS204, NS208, NS5200, NS5000, SSG5, SSG20, SSG140, ISG 1000 и ISG 2000). Уже тогда спецслужбы научились эксплуатировать уязвимости в продуктах серии NetScreen, которые работают под управлением ScreenOS.

Издание отмечает, что нет никаких прямых улик, свидетельствующих о том, что именно АНБ поместило бекдоры в код ScreenOS. Тем не менее, документ подтверждает, что Агентство еще в 2011 году знало об их существовании и разобралось, как ими пользоваться.

Если АНБ действительно непричастно к случившемуся, и бекдор в ПО компании Juniper Network дело рук китайских или российских правительственных хакеров, спецслужбы США все равно выглядят скверно в данной ситуации. Умалчивая о столь важных уязвимостях на протяжении почти четырех лет, АНБ поставило под угрозу огромное количество компаний, использующих решения Juniper Network, а также их пользователей, пишет xakep.ru.

С другой стороны, можно сказать, что АНБ просто исполняло свою работу, ведь радиотехническая разведка входит в список обязанностей Агентства. Вокруг опубликованного документа возникло немало споров, так как многие не видят в поведении спецслужб ничего предосудительного. Да, АНБ компрометирует софт или использует найденные уязвимости, а сотрудники ЦРУ лгут людям. Небо голубое, трава зеленая.

Напомню, что в ScreenOS обнаружили две проблемы. Первый бекдор позволяет использовать Telnet или SSH для получения привилегированного доступа к системе (CVE-2015-7755). Компании Rapid 7 и Fox-IT нашли универсальный пароль, подходящий к этому бекдору, который может быть использован в сочетании с любым логином.

Второй бекдор позволяет потенциальному атакующему слушать и расшифровывать VPN-трафик пользователей (CVE-2015-7756). Об этой проблеме известно куда меньше, чем о первой, но эксперты считают, что она связана с генератором псевдослучайных чисел. Один из инженеров Google – Адам Ленгли (Adam Langley) предполагает, что проблема, скорее всего, касается криптографически стойкого генератора псевдослучайных чисел (Dual Elliptic Curve Deterministic Random Bit Generator, Dual EC DRBG). С мнением Ленгли согласны и другие эксперты: о проблеме уже высказались Профессор университета Джона Хопкинса Мэтью Грин (Matthew Green) и известный специалист по безопасности Ральф-Филипп Вейнман (Ralf-Philipp Weinmann). Они тоже полагают, что дело в генераторе псевдослучайных чисел.

Единодушие специалистов легко объяснить. Дело в том, что похожая ситуация с бекдорами уже возникала в 2013 году. Тогда АНБ сумело создать бекдор для Dual EC DRBG и заплатило компании RSA 10 млн долларов, за внедрение шпионского кода в ее инструментарии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Группа Астра приглашает проверить BILLmanager на уязвимости

«Группа Астра» запустила новую программу на платформе BI.ZONE Bug Bounty, в рамках которой независимые исследователи смогут проверить на уязвимости продукт BILLmanager — систему для управления и анализа ИТ-инфраструктуры.

Ранее на этой же платформе была размещена программа для серверной виртуализации VMmanager, входящая в портфель «Группы Астра».

Это привлекло внимание профессионального сообщества, и теперь аналогичный процесс пройдет для BILLmanager. Баг-хантеры смогут выявлять уязвимости, а за каждую подтвержденную проблему предусмотрено вознаграждение, размер которого зависит от степени опасности и может достигать 100 000 рублей.

Генеральный директор ISPsystem Павел Гуральник отметил, что привлечение независимых экспертов поможет усилить защиту продуктов компании. По словам руководителя BI.ZONE Bug Bounty Андрея Левкина, это уже третья программа «Группы Астра» на платформе, и интерес к таким инициативам продолжает расти как среди разработчиков коммерческого софта, так и среди исследователей безопасности.

Вчера мы писали, что Positive Technologies и АО «Кибериспытание» заключили партнерское соглашение, в рамках которого 100 компаний смогут проверить уровень своей защищённости и выйти на платформу Standoff Bug Bounty в первом квартале 2025 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru