Hlavní navigace

Postřehy z bezpečnosti: zařízení Juniper obsahují zadní vrátka

28. 12. 2015
Doba čtení: 7 minut

Sdílet

V dalším díle pravidelných Postřehů se podíváme na backdoor ukrytý v operačním systému Juniper zařízení umožnující neautorizovaný přístup, jak Česká Pošta byla málem vyřazena z důvěryhodných autorit, další drobnost k tématu SHA-1, jak by měla vypadat bezpečnost endpoint zařízení a spoustu dalšího.

Doufám, že si při čtení těchto Postřehů užíváte svátků někde na horách, s rodinou na chatě nebo s přáteli kdekoliv, a ne s chřipkou jako já. Do předchozího dílu Postřehů se očividně kolegům z CZ.NIC nevešla zpráva, která se objevila již koncem předchozího týdne, a tak mi dovolte začít s ní, protože se jedná a zcela zásadní bezpečnostní problém.

Juniper Networks je společnost dodávající malým i velkým společnostem především síťová (switche, routery) a bezpečnostní (firewally, VPN, SSLVPN) zařízení a ve své oblasti má poměrně významné postavení. Tím chci říct, že je velká pravděpodobnost, že i vaše společnost některé Juniper zařízení používá.

17.12. společnost Juniper zveřejnila urgentní bezpečnostní zprávu, ve které uvádí, že interní audit zdrojových kódů odhalil několik neautorizovaných částí kódu v operačním systému, který používají NetScreen firewally a SSG (Secure Service Gateways) zařízení. Tento problém se týká větve ScreenOS 6.2.0r15 až 6.2.0r18 a 6.3.0r12 až 6.3.0r20 (tj. od roku 2012).

Popišme teď problém správnými jmény. Juniper zařízení obsahují backdoor, umožňující privilegovaný, neautorizovaný SSH a telnet přístup pomocí univerzálního hesla (<<< %s(un='%s') = %u ) a dešifrování všech VPN spojení. Dešifrování VPN je možné u všech výše zmíněných verzí, ale backdoor s univerzálním heslem byl přidán až koncem roku 2013 (od verze 6.3.0r15). Ano, ten řetězec v závorce je heslo, ne část kódu, ale jako část kódu to mělo vypadat, aby to auditor přehlédl. Stačí použít jakékoliv uživatelské jméno a toto heslo pro plný přístup na zařízení. Klidně si to vyzkoušejte, funguje to :)

Zde můžete vidět analýzu kódu provedenou známým odborníkem H. D. Moorem, kde na levé straně máme část kódu obsahující backdoor a na pravé straně je čistý kód.

Pokud odesíláte syslog zprávy na centrální log server, či SIEM (což byste měli), tak se podívejte, jestli vaše zařízení někdy vygenerovalo záznam podobný tomuto:

2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from …

Zásadní je zde text „Admin user system“. To značí, že se někdo přihlásil na vaše zařízení pomocí backdoor hesla.

Co se týče problému s VPN, tak tam se vracíme o několik let zpět kdy se prokázalo, že RSA dostala zaplaceno od NSA 10 milionů dolarů za to, že se ve výchozím stavu bude používat RNG (Random Number Generator) Dual_EC_DRBG, který, jak známo, negeneruje příliš náhodná čísla a díky tomu je možné dešifrovat data. Tato problematika je už nad rámec, článku, tak si prosím přečtěte podrobnosti v odkazovaném článku.

Podle prvotních scanů pomocí služby Shodan je takto napadnutelných 26 tisíc zařízení, které poslouchají na SSH portu.

Samozřejmě je pravděpodobné, že dostal zaplaceno někdo z vývojářů Juniperu, aby kód přidal, a protože dle dokumentů od Snowdena měla NSA přístup k Juniper zařízením, a to i pomocí HW backdooru, který implantovala do zařízení během jejich převozu do cílové společnosti, tak je jedním z hlavních podezřelých právě NSA, avšak v případě dešifrování VPN to naopak na NSA nevypadá. Nikdo netvrdí, že podobný backdoor není i v jiných zařízeních. Je naopak vysoce pravděpodobné, že ano. Ať už úmyslně či neúmyslně. CiscoF5 by mohli vyprávět.

Patch existuje v poslední verzi. Updatujte hned, jak to bude možné, a prohlédněte logy, jestli byla chyba využita (avšak data retention tři roky má opravdu málokdo).

Naše postřehy

Certifikační autorita České Pošty PostSignum byla málem odebrána z balíku důvěryhodných CA Microsoftu (u většiny ostatních nikdy ani nebyla). Prý šlo pouze o procesní problémy. Já bych se spíš bál toho, že vám na každém okénku pošty nahrají CSR z vámi dodané USB flashky. Ano, na pozadí se spustí rychlý scan antivirovým programem, ale to je v případě BadUSB, nebo vlastního malwaru dost k ničemu, když dokážou všeobecně identifikovat jen 45% nového malwaru. Přitom vše lze efektivně a jednoduše vyřešit, pokud máte dostatečné znalosti. Bohužel komplexně nebo nesmyslně to umí kdekdo, a proto často vidíme právě taková řešení.

Video přehrávač na Facebooku byl změněn na HTML5. Další hřebíček do rakve Flashe. Zkuste si úplně zakázat Flash a Javu. Opravdu už to není takový problém. Pokud pracujete v korporátu s nepodporovanými aplikacemi bežícími na Javě, tak si raději k jejich přístupu zřiďte dedikovaný RDP server a používejte je pouze z něj.

Google pokračuje v boji proti používání hesel a uvádí funkci umožňující autentizovat přístup pomocí potvrzení přes mobilní telefon. Super nápad, ale u Applu se toto používá už dlouho (od iOS 9 a OS X El Capitan). Dokonce s každým major updatem MacBooku, iPhonu či iPadu nebo změnou recovery emailu u účtu vám na dalším vašem zařízení vyskočí požadavek o autorizování změny.

Od nového roku budou SSL certifikáty používající SHA-1 bráný jako nedůvěryhodné podle Googlu. Psali jsme o tom už v předešlých Postřezích, ale rád bych upozornil na jednu další drobnost. Pokud fungujete jako intermediate CA, tak si prostudujte podmínky vaší kořenové CA. Je dost možné, že byla přidána podmínka, podle které i vy, pokud v novém roce vydáte SHA-1 certifikát (a je úplně jedno jestli jen pro interní účely), tak v nejhorším případě může být certifikát vaší intermediate CA revokován. Toť velmi špatná zpráva pro spoustu korporací a času už je málo, tak rychle vydejte všechny aktuální SHA-1 certifikáty před novým rokem, ať máte aspoň jeden rok k vyřešení nekompatibility s ostatními systémy.

Společnost Sophos testovala na 40 bankovních aplikací a i když jsou výsledky lepší než minulý rok, stejně je aktuální stav špatný. Například 35% aplikací přistupují na služby, kde jsou objekty linkované na HTTP protokol, což umožňuje zcizení session tokenu a vkládání vlastních scriptů, 57,5 % z nich neumožňuje dvoufaktorovou autentizaci a 12,5 % ani neověřuje SSL certifikát. U nás používá 2FA (vetšinou v podobě Apple Touch ID) minimálně Fio, UniCredit a částečně KB.

Kaspersky sepsalo pár bodů, jejímž dodržením byste měli rapidně zvýšit bezpečnost stanic. Víceméně doporučují okamžitě aktualizovat programy nainstalované v počítači (a ne čekat tři měsíce dle security patch policy vaší společnosti) a odinstalovat nepoužívané aplikace. Pojďme si však sepsat, co vše by takový bezpečný korporatní endpoint (počítač, notebook, tablet, mobil) měl obsahovat. Bohužel detaily jsou mimo rámec tohoto článku.

  • Always-on VPN (eliminuje riziko otevřených WiFi, nešifrovaných kanálů apod.)

  • Schopný antivirový SW

  • Host Intrusion Prevention SW (schopný detekovat alespoň síťové útoky)

  • DLP (Data Loss Prevention) SW (lze využít i k detekci 0day)

  • Schopný SW na plné šifrovaní disku (pozor na odposlech klíčů)

  • Threat Emulation SW, nebo agent pro odeslání vzorku do cloudu umožňující emulaci, či extrakci škodlivých částí (APT a 0day ochrana)

  • Okamžitý security patching

  • Sken stanic na zranitelnosti (vulnerability scan)

  • Sken stanic ověřující soulad se standardy (compliance scan)

  • SW schopný využít IOC (Indicators of Compromise) na stanicích

  • Zasílání všech logů stanic do centralizovaného SIEMu s následnou korelací a analýzou

  • Cloud proxy řešení pro přístup na Internet (těch výhod je hned několik)

  • Použití 2FA pro autentizaci (mobil, USB token, …)

  • Omezení přístupu k periferiím (bootkit, rootkit ochrana)

  • Běh uživatelů s minimálním opravněním (zero-touch deployment a administrace toto řeší)

To jen tak na úvod. Pak jsou ještě specifické požadavky pro stanice (PC, notebook) a mobilní zařízení (mobil, tablet) podle daného typu zařízení a schopností nainstalovaného operačního systému, ale o tom by se dalo mluvit několik dnů, takže mě kontaktujte raději přímo, pokud byste měli zájem o konzultaci.

Samozřejmě se tím nemíní, že by mělo na stanicích běžet deset různých SW agentů, ale měl by se vybrat jeden, maximálně dva, kteří jsou schopní integrovat většinu z nich, nebo spolupracovat se zařízeními v cloudu, či již existujícími na vaší vlastní síti (typicky IPS a webové proxy). Nekoukejte jen na poslední výsledky Gartnera, čtěte mezi řádky a hlavně nevěřte všemu, co říkají lidé z presales.

root_podpora

Ve zkratce

Pro pobavení

Seznam budoucích neplánovaných výpadků :)


Autor: Scott Adams

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?