Hlavní navigace

Routery Juniper Networks obsahují tajný kód, který dešifruje VPN provoz

 Autor: Juniper Networks
Daniel Dočekal 21. 12. 2015

Přítomnost „neautorizovaného“ kódu sloužícího pro dešifrování VPN provozu v routerech Juniper Networks je dost závažným problémem.

Interní kontrola kódu u Juniper Networks odhalila velmi nepříjemnou situaci: do routerů se dostal „neautorizovaný kód“, který mohl případnému útočníkovi poskytnout přístup správce a poté umožnit dešifrovat VPN komunikace. Problém se týká zařízení NetScreen používajících ScreenOS od 6.2.0r15 až 6.2.0r18 a 6.3.0r14 až 6.3.0r20.

Pokud předmětná zařízení používáte, Juniper Networks už vydali opravu, která by tento kód měla odstranit.

Na celé události je nejzajímavější to, že může mít souvislost s informacemi (viz Der Spiegel) o NSA snažící se proniknout do zařízení Juniperu s cílem získat zadní vrátka pro přístup. V dokumentech NSA je tato snaha označena jako FEEDTHROUGH a mělo by jít o malware, který je schopen přístupu do firewallu od Juniperu a dokáže přežít i aktualizace softwaru.

Neautorizovaný kód je také aktuálně předmětem šetření americké vlády a prověřuje se i možnost, že mohlo jít o aktivitu jiné vlády nebo o organizovanou kriminalitu.

CIF16

Juniper Networks žádné bližší informace neposkytli a najít na jejich webových stránkách informaci o incidentu je poměrně obtížné, zkuste případně 2015–12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015–7755, CVE-2015–7756). Případně přímo CVE-2015–7755 a CVE-2015–7756.

Zajímavé a užitečné ale může být CVE-2015–7755: Juniper ScreenOS Authentication Backdoor, kde zjistíte i univerzální heslo, které bylo použitelné pro přístup (<<< %s(un=‚%s‘) = %u) a které je v podobě, která umožňuje jeho snadné přehlédnutí.

Našli jste v článku chybu?
Podnikatel.cz: ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

120na80.cz: Běžci, co jíst poslední dny před závodem?

Běžci, co jíst poslední dny před závodem?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?