Пароль для бекдора в ScreenOS нашли за 6 часов

Ситуация вокруг загадочного бекдора, обнаруженного в операционной системе компании Juniper Network, продолжает развиваться. К бекдору подобрали пароль. Кроме того, известно, что в коде ScreenOS обнаружили сразу 2 вредоносные модификации.

Первая позволяет установить несанкционированный удаленный доступ к устройству, посредством SSH или Telnet. Эксплуатация данной бреши может привести к полной компрометации устройства. Вторая проблема еще серьезнее. Сообщается, что она позволяет хакеру получить полный доступ к системе и расшифровывать VPN-трафик, проходящий через ScreenOS и аппаратную платформу NetScreen.

Аналитики компании Rapid 7 решили самостоятельно изучить вопрос, раз уж информации от Juniper Network было крайне мало. Специалисты проверили код Juniper Network сами и поделились подробностями своих изысканий в блоге. В частности, появились интересные подробности относительно первой проблемы, затрагивающей SSH и Telnet соединения.

Эксперты Rapid 7 обнаружили жёстко закодированный пароль: <<< %s(un=’%s’) = %u, гарантирующий доступ с правами администратора. Этот универсальный «ключ от всех дверей» замаскирован под безобидную строку printf(), отвечающую за записи в логе диагностики. По словам экспертов, если не знать, что именно ищешь, обнаружить брешь практически невозможно. Тем не менее, команда Rapid 7 справилась с задачей за 6 часов.

Если использовать это «магическое» сочетание символов через SSH и Telnet, в качестве пароля, неважно, какой будет введет логин – доступ к устройству гарантирован в любом случае. Специалисты Rapid 7 пишут, что, к сожалению, невозможно сказать, использовалась ли данная уязвимость ранее, так как злоумышленники легко могли подчищать за собой логи.

Команда Rapid 7 насчитала в интернете около 26 000 Netscreen-систем с открытым SSH. Эксперты подтвердили наличие бекдора в ScreenOS 6.3.0r17 и 6.3.0r19, но не смогли подтвердить в 6.3.0r15 и 6.3.0r16. «Это интересно, так как первая проблемная версия датирована 2012 годом, но аутентификационный бекдор, похоже, был добавлен в более поздних релизах, в 2013 году: 6.3.0r15, 6.3.0r16 или 6.3.0r17», — сообщается в блоге Rapid 7.

Что касается бекдора, допускающего расшифровку VPN-трафика, в проблеме попытался разобраться один из инженеров Google – Адам Ленгли (Adam Langley). Ленгли предполагает, что проблема, скорее всего, касается криптографически стойкого генератора псевдослучайных чисел (Dual Elliptic Curve Deterministic Random Bit Generator, Dual EC DRBG). Похожая ситуация уже возникала в 2013 году. Тогда АНБ сумело создать бекдор для алгоритма шифрования и заплатило RSA 10 млн долларов, за внедрение бекдора в ее инструментарии.