Оновлення для міжмережевих екранів Juniper відкриває несанкціонований root-доступ до пристроїв



Компанія Juniper попереджає своїх користувачів міжмережевих екранів SRX про те, що випущене системне оновлення містить критичну уразливість в результаті якої можливий несанкціонований root-доступ до пристроїв. Уразливі всі системи, користувачі яких використовували команду «request system software» з встановленою опцією «partition».

У своєму першому в 2017 році бюлетені безпеки компанія пише про те, що в результаті оновлення «система може опинитися в стані, при якому root-логін для командного рядка стає доступним без пароля». У зоні ризику всі системи оновлені з Junos OS версій до 12.1X46-D65.

Подібне можливо із-за некоректної установки оновлення після збою система «відкочується» в безпечний режим, створений для того, щоб адміністратор міг самостійно поглянути на проблему. У такому режимі пристрій можна використовувати тільки з root-логіном без пароля, а всі створені раніше облікові записи стираються.

Ще один важливий момент — якщо після встановлення оновлення встановити ще, але вже з виправленою помилкою, це не виправить вразливість. Замість цього Juniper рекомендує після виявлення очевидних симптомів після установки оновлення перезавантажити пристрій». За словами представників компанії, перезавантаження допомагає повернути систему в коректне стан…

Помилка оновлення Juniper — не перший випадок, коли дії виробників роблять їх продукти вразливими. Раніше дослідники інформаційної безпеки знаходили критичну вразливість, яка дозволяла віддаленого неавторизованого користувачеві здійснювати виконання довільного коду або перезавантажувати маршрутизатори Cisco ASA.

Експерти Positive Technologies рекомендують всім користувачам мережевого устаткування різних вендорів використовувати для виявлення вразливостей спеціалізовані інструменти — наприклад, систему контролю захищеності та відповідності стандартам MaxPatrol 8 і MaxPatrol SIEM. Ці інструменти дозволяє виявляти помилки, такі як можливість доступу без пароля root і інші рівні), а також відкритий доступ без необхідності введення логіна і пароля.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.