Мир: Продукты Juniper Networks оказались уязвимы к атаке DROWN

0

Ряд продуктов производства Juniper Networks оказались уязвимы к атаке DROWN. Согласно опубликованному предупреждению, проблема затрагивает все версии ScreenOS, серию STRM/JSA, а также контроллеры WLC Wireless LAN Controller. Решения Junos OS, Junos Space, JunosE, QFabric Director, Standalone IDP, NSM (NSM4000, NSM3000, NSMXpress), WLAN RingMaster, WLAN SmartPass уязвимости не подвержены.


В ближайшее время компания выпустит исправленные версии 2014.6.r4 и 2013.2.r14 продуктов STRM/JSA. Патчи для остальных решений будут доступны немного позже. В начале марта нынешнего года стало известно об уязвимости в протоколе SSLv2, позволяющей осуществить новый тип атаки на HTTPS – DROWN. Проэксплуатировав проблему, злоумышленники могут перехватить интернет-трафик и похитить конфиденциальные данные.

Получив доступ к промежуточному шлюзу атакующий может имитировать HTTPS-сервер или почтовый сервер и получить контроль над шифрованным трафиком, принимая запросы от клиента и транслируя их к настоящему серверу. По некоторым данным, проблеме подвержены порядка 33% сайтов, обеспечивающих передачу данных по зашифрованному протоколу HTTPS, в том числе ресурсы Yahoo!, Alibaba, Weibo, Buzzfeed, Rambler, Weather.com, Flickr и Samsung. По оценкам компании Skyhigh Cloud Security Labs, 98,9% организаций используют по крайней мере один облачный сервис, уязвимый к DROWN.

В январе нынешнего года Juniper Networks пообещала повторно выпустить патч для операционной системы ScreenOS в первой половине 2016 г. Напомним, в прошлом декабре в данной ОС был обнаружен бэкдор, позволяющий удаленно получить доступ с правами администратора к устройствам Juniper NetScreen и расшифровать VPN-трафик. (Juniper/NovostIT)