Juniper Networks пропатчила уязвимость, связанную с инфраструктурой открытых ключей; данная брешь позволяла получать доступ к маршрутизаторам, переключателям и устройствам обеспечения безопасности, а также перехватывать конфиденциальные коммуникации. Проблема затрагивает лишь сетевые продукты и платформы Juniper, работающие под управлением ОС Junos.

Уязвимость CVE-2016-1280, найденная в ходе внутреннего аудита, была закрыта на прошлой неделе, после чего в соответствии с принятой процедурой предана гласности. Juniper также опубликовала бюллетень по безопасности с кратким изложением проблемы и принятых мер.

Наличие CVE-2016-1280 открывает возможность для создания самоподписанных сертификатов, способных обходить проверку подлинности на аппаратуре Juniper, работающей на Junos. Эксплуатация бреши позволяет атакующему занять в сети жертвы позицию «человек посередине» и просматривать защищенный трафик.

«Когда одноранговое устройство предъявляет в качестве сертификата конечного объекта самоподписанный экземпляр с именем издателя, упомянутым в списке действующих УЦ, которым оперирует Junos, проверка подлинности не производится, и сертификат пира принимается за доверенный», — поясняет Juniper в бюллетене. По словам разработчика, данная уязвимость затрагивает лишь сертификаты, используемые в рамках протоколов IKE (обмена ключами по Интернету) и IPsec (защиты сетевого трафика на уровне IP).

Проверка сертификатов — ключевой элемент процедуры открытия сеанса связи по безопасному каналу. Атакуя лакомые мишени вроде Google и Microsoft, злоумышленники зачастую подделывают сертификат, чтобы заполучить конфиденциальные данные пользователей — ID, пароли. Если программа-клиент недостаточно добросовестно производит проверку сертификата, соединение не может считаться надежным.

«Новейшая уязвимость в механизме утверждения доверия к сертификатам влияет на приватность и безопасность сотен предприятий по всему миру, — заявил Кевин Боцек (Kevin Bocek), вице-президент Venafi по стратегии защиты от интернет-угроз. — Неспособность частных сетей Juniper определить, можно ли доверять подключаемому устройству, — это сильный удар по основам безопасности, которые формировались в течение последних 20 лет».

В тех случаях, когда на сертификаты полагаться нельзя, злоумышленники, по словам эксперта, могут с легкостью воспользоваться ситуацией и сделать так, что «все остальные уровни безопасности тоже откажут». «Исследования доказали, что сфабриковать вредоносный сертификат, способный заставить устройства Juniper устанавливать недоверенные соединения, очень просто, — продолжает Боцек. — Проблему усугубляет тот факт, что эти соединения шифруются и допускают вброс и вывод данных, и обнаружить такую атаку трудно».

Для таких маститых ИБ-экспертов, как Боцек, уязвимость в криптозащите Juniper — лишь новейшая из находок, связанных с некорректностью проверки сертификатов. Представитель Venafi напомнил, что аналитики Gartner еще в 2012 году предостерегали от слепого доверия к сертификатам. «К сожалению, и эксперты, и бизнес-структуры продолжают принижать значение этой огромной проблемы, и такое легкомыслие дорого всем обходится», — сокрушается Боцек.

Патч для криптобага — далеко не единственно важный в новом выпуске Juniper. В этом наборе также содержатся заплатки для критической бреши повышения привилегий (CVE-2016-1279), двух уязвимостей в ядре (CVE-2016-1263 и CVE-2016-1277), DoS-бага (CVE-2016-1276) и уязвимости в сервисе частной виртуальной локальной сети (VPLS).

Категории: Уязвимости