تحلیل درب های پشتی جونیپر

شرکت جونیپر  روز ۱۷ دسامبر در صدر اخبار امنیت دنیا قرار گرفت، از بابت افشای دو آسیب پذیری سطح بالا در میان افزار (Firmware) محصولات مختلف از جمله فایروال، روتر و سوئیچ.طبق ادعای جونیپر، این دو آسیب پذیری توسط خود شرکت در خلال مرور کد کشف شده است.

یکی از این آسیب پذیری ها عبارت است از استفاده از یک تولید کننده شبه تصادفی برای اگلوریتم های رمز VPN که به نفوذگر امکان رمزگشایی ارتباطات VPN را می دهد. وجود این آسیب پذیری که با شناسه CVE-2015-7756 شناخته می شود با اسنادی که توسط ادوارد اسنودن در سال های اخیر افشا شده تطبیق داده شده است. نسخه های آسیب پذیر عبارتند ازScreenOS ورژن 6.3.0r12 تا ۶٫۳٫۰r20 و ۶٫۲٫۰r15 تا 6.2.0r18 .

آسیب پذیری دوم، وجود یک پسورد پیش فرض است که با ارائه آن در اتصال Telnet یا SSH ، صرفنظر از نام کاربر، می توان به دستگاه جونیپر به عنوان ادمین با بالاترین مجوز ممکن لاگین کرد! فایروال جونیپر، این لاگین از راه دور را با نام کاربر system در لاگ فایل ها ثبت می کند.

 

در واقع اگر چنین لاگی در دستگاه جونیپر شما وجود دارد، یعنی کسی توانسته از این درب پشتی سوء استفاده کند. در چند روز اول که این باگ منتظر شد، تصور من این بود که این پسورد پنهان ممکن است توسط برنامه نویسان خود جونیپر برای انجام دیباگ قرار ایجاد شده باشد. اتفاق مشابهی قبلاً برای محصول باراکودا هم رخ داده بود. به همین دلیل هم لاگ ورود با این پسورد در سیستم ثبت می شود. در واقع اگر این کار توسط یک جاسوس انجام شده باشد، چه دلیلی دارد که لاگ آن هم در سیستم ثبت شود، چون این کار می توانست کشف این درب پشتی را ساده کند (مگر اینکه فرد جاسوس، به آن بخش از کد که مسئول ثبت لاگ ورود و خروج است دسترسی نداشته باشد، که بعید به نظر می رسد!). در هر حال این باگ یک نکته آموزنده فرعی را هم به ما یادآوری می کند که شاید چندان مورد توجه قرار نگرفته است: نه تنها لاگین های ناموفق، بلکه لاگین های موفق به سیستم های حساس را هم باید لاگ و به طور منظم مرور کرد! این توصیه احتمالاً برای کسانی که عادت به مدیریت و مرور لاگ ندارند اما حاضرند صدها میلیون تومان برای SIEM و SOC خرج کنند مفید خواهد بود! 

یکی از بحث های داغ این روزها، این است که چه کسی یا کسانی این دو در پشتی را در جونیپر قرار داده اند؟ آیا یک یا هر دوی این ها توسط خود شرکت قرار داده شده یا پای افراد یا سازمان های اطلاعاتی از جمله NSA در میان است. روز ۲۳ دسامبر، سندی با طبقه بندی فوق سری منتشر شد که نشان می دهد سازمان اطلاعات بریتانیا (GCHQ) از سال ۲۰۱۱ قابلیت اکسپلویت و دسترسی به ۱۳ نوع از انواع محصولات جونیپر را دارد. البته Math Blaze یکی از دانشمندان برجسته رمز گفته که بعید است این سند به دو درب پشتی فعلی مربوط باشد!

چند لینک مفید در این باره.

اشتراک گذاری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.