Hlavní navigace

Postřehy z bezpečnosti: zařízení Juniper obsahují zadní vrátka

Martin Čmelík

V dalším díle pravidelných Postřehů se podíváme na backdoor ukrytý v operačním systému Juniper zařízení umožnující neautorizovaný přístup, jak Česká Pošta byla málem vyřazena z důvěryhodných autorit, další drobnost k tématu SHA-1, jak by měla vypadat bezpečnost endpoint zařízení a spoustu dalšího.

Doufám, že si při čtení těchto Postřehů užíváte svátků někde na horách, s rodinou na chatě nebo s přáteli kdekoliv, a ne s chřipkou jako já. Do předchozího dílu Postřehů se očividně kolegům z CZ.NIC nevešla zpráva, která se objevila již koncem předchozího týdne, a tak mi dovolte začít s ní, protože se jedná a zcela zásadní bezpečnostní problém.

Juniper Networks je společnost dodávající malým i velkým společnostem především síťová (switche, routery) a bezpečnostní (firewally, VPN, SSLVPN) zařízení a ve své oblasti má poměrně významné postavení. Tím chci říct, že je velká pravděpodobnost, že i vaše společnost některé Juniper zařízení používá.

17.12. společnost Juniper zveřejnila urgentní bezpečnostní zprávu, ve které uvádí, že interní audit zdrojových kódů odhalil několik neautorizovaných částí kódu v operačním systému, který používají NetScreen firewally a SSG (Secure Service Gateways) zařízení. Tento problém se týká větve ScreenOS 6.2.0r15 až 6.2.0r18 a 6.3.0r12 až 6.3.0r20 (tj. od roku 2012).

Popišme teď problém správnými jmény. Juniper zařízení obsahují backdoor, umožňující privilegovaný, neautorizovaný SSH a telnet přístup pomocí univerzálního hesla (<<< %s(un='%s') = %u ) a dešifrování všech VPN spojení. Dešifrování VPN je možné u všech výše zmíněných verzí, ale backdoor s univerzálním heslem byl přidán až koncem roku 2013 (od verze 6.3.0r15). Ano, ten řetězec v závorce je heslo, ne část kódu, ale jako část kódu to mělo vypadat, aby to auditor přehlédl. Stačí použít jakékoliv uživatelské jméno a toto heslo pro plný přístup na zařízení. Klidně si to vyzkoušejte, funguje to :)

Zde můžete vidět analýzu kódu provedenou známým odborníkem H. D. Moorem, kde na levé straně máme část kódu obsahující backdoor a na pravé straně je čistý kód.

Pokud odesíláte syslog zprávy na centrální log server, či SIEM (což byste měli), tak se podívejte, jestli vaše zařízení někdy vygenerovalo záznam podobný tomuto:

2015-12-17 09:00:00 system warn 00515 Admin user system has logged on via SSH from …

Zásadní je zde text „Admin user system“. To značí, že se někdo přihlásil na vaše zařízení pomocí backdoor hesla.

Co se týče problému s VPN, tak tam se vracíme o několik let zpět kdy se prokázalo, že RSA dostala zaplaceno od NSA 10 milionů dolarů za to, že se ve výchozím stavu bude používat RNG (Random Number Generator) Dual_EC_DRBG, který, jak známo, negeneruje příliš náhodná čísla a díky tomu je možné dešifrovat data. Tato problematika je už nad rámec, článku, tak si prosím přečtěte podrobnosti v odkazovaném článku.

Podle prvotních scanů pomocí služby Shodan je takto napadnutelných 26 tisíc zařízení, které poslouchají na SSH portu.

Samozřejmě je pravděpodobné, že dostal zaplaceno někdo z vývojářů Juniperu, aby kód přidal, a protože dle dokumentů od Snowdena měla NSA přístup k Juniper zařízením, a to i pomocí HW backdooru, který implantovala do zařízení během jejich převozu do cílové společnosti, tak je jedním z hlavních podezřelých právě NSA, avšak v případě dešifrování VPN to naopak na NSA nevypadá. Nikdo netvrdí, že podobný backdoor není i v jiných zařízeních. Je naopak vysoce pravděpodobné, že ano. Ať už úmyslně či neúmyslně. CiscoF5 by mohli vyprávět.

Patch existuje v poslední verzi. Updatujte hned, jak to bude možné, a prohlédněte logy, jestli byla chyba využita (avšak data retention tři roky má opravdu málokdo).

Naše postřehy

Certifikační autorita České Pošty PostSignum byla málem odebrána z balíku důvěryhodných CA Microsoftu (u většiny ostatních nikdy ani nebyla). Prý šlo pouze o procesní problémy. Já bych se spíš bál toho, že vám na každém okénku pošty nahrají CSR z vámi dodané USB flashky. Ano, na pozadí se spustí rychlý scan antivirovým programem, ale to je v případě BadUSB, nebo vlastního malwaru dost k ničemu, když dokážou všeobecně identifikovat jen 45% nového malwaru. Přitom vše lze efektivně a jednoduše vyřešit, pokud máte dostatečné znalosti. Bohužel komplexně nebo nesmyslně to umí kdekdo, a proto často vidíme právě taková řešení.

Video přehrávač na Facebooku byl změněn na HTML5. Další hřebíček do rakve Flashe. Zkuste si úplně zakázat Flash a Javu. Opravdu už to není takový problém. Pokud pracujete v korporátu s nepodporovanými aplikacemi bežícími na Javě, tak si raději k jejich přístupu zřiďte dedikovaný RDP server a používejte je pouze z něj.

Google pokračuje v boji proti používání hesel a uvádí funkci umožňující autentizovat přístup pomocí potvrzení přes mobilní telefon. Super nápad, ale u Applu se toto používá už dlouho (od iOS 9 a OS X El Capitan). Dokonce s každým major updatem MacBooku, iPhonu či iPadu nebo změnou recovery emailu u účtu vám na dalším vašem zařízení vyskočí požadavek o autorizování změny.

Od nového roku budou SSL certifikáty používající SHA-1 bráný jako nedůvěryhodné podle Googlu. Psali jsme o tom už v předešlých Postřezích, ale rád bych upozornil na jednu další drobnost. Pokud fungujete jako intermediate CA, tak si prostudujte podmínky vaší kořenové CA. Je dost možné, že byla přidána podmínka, podle které i vy, pokud v novém roce vydáte SHA-1 certifikát (a je úplně jedno jestli jen pro interní účely), tak v nejhorším případě může být certifikát vaší intermediate CA revokován. Toť velmi špatná zpráva pro spoustu korporací a času už je málo, tak rychle vydejte všechny aktuální SHA-1 certifikáty před novým rokem, ať máte aspoň jeden rok k vyřešení nekompatibility s ostatními systémy.

Společnost Sophos testovala na 40 bankovních aplikací a i když jsou výsledky lepší než minulý rok, stejně je aktuální stav špatný. Například 35% aplikací přistupují na služby, kde jsou objekty linkované na HTTP protokol, což umožňuje zcizení session tokenu a vkládání vlastních scriptů, 57,5 % z nich neumožňuje dvoufaktorovou autentizaci a 12,5 % ani neověřuje SSL certifikát. U nás používá 2FA (vetšinou v podobě Apple Touch ID) minimálně Fio, UniCredit a částečně KB.

Kaspersky sepsalo pár bodů, jejímž dodržením byste měli rapidně zvýšit bezpečnost stanic. Víceméně doporučují okamžitě aktualizovat programy nainstalované v počítači (a ne čekat tři měsíce dle security patch policy vaší společnosti) a odinstalovat nepoužívané aplikace. Pojďme si však sepsat, co vše by takový bezpečný korporatní endpoint (počítač, notebook, tablet, mobil) měl obsahovat. Bohužel detaily jsou mimo rámec tohoto článku.

  • Always-on VPN (eliminuje riziko otevřených WiFi, nešifrovaných kanálů apod.)

  • Schopný antivirový SW

  • Host Intrusion Prevention SW (schopný detekovat alespoň síťové útoky)

  • DLP (Data Loss Prevention) SW (lze využít i k detekci 0day)

  • Schopný SW na plné šifrovaní disku (pozor na odposlech klíčů)

  • Threat Emulation SW, nebo agent pro odeslání vzorku do cloudu umožňující emulaci, či extrakci škodlivých částí (APT a 0day ochrana)

  • Okamžitý security patching

  • Sken stanic na zranitelnosti (vulnerability scan)

  • Sken stanic ověřující soulad se standardy (compliance scan)

  • SW schopný využít IOC (Indicators of Compromise) na stanicích

  • Zasílání všech logů stanic do centralizovaného SIEMu s následnou korelací a analýzou

  • Cloud proxy řešení pro přístup na Internet (těch výhod je hned několik)

  • Použití 2FA pro autentizaci (mobil, USB token, …)

  • Omezení přístupu k periferiím (bootkit, rootkit ochrana)

  • Běh uživatelů s minimálním opravněním (zero-touch deployment a administrace toto řeší)

To jen tak na úvod. Pak jsou ještě specifické požadavky pro stanice (PC, notebook) a mobilní zařízení (mobil, tablet) podle daného typu zařízení a schopností nainstalovaného operačního systému, ale o tom by se dalo mluvit několik dnů, takže mě kontaktujte raději přímo, pokud byste měli zájem o konzultaci.

Samozřejmě se tím nemíní, že by mělo na stanicích běžet deset různých SW agentů, ale měl by se vybrat jeden, maximálně dva, kteří jsou schopní integrovat většinu z nich, nebo spolupracovat se zařízeními v cloudu, či již existujícími na vaší vlastní síti (typicky IPS a webové proxy). Nekoukejte jen na poslední výsledky Gartnera, čtěte mezi řádky a hlavně nevěřte všemu, co říkají lidé z presales.

Ve zkratce

Pro pobavení

Seznam budoucích neplánovaných výpadků :)


Autor: Scott Adams

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

5. 1. 2016 17:00

bbb (neregistrovaný)

"Pritom existuje nekolik reseni pro bezpecne in-browser generovani klicu, pripadne neni velkym problemem to pro ty nejbeznejsi napsat sam pomoci zdroju z Internetu."

Vazne? WebCryptoAPI neni dokoncene, podpora cipovych karet neexistuje a jedine, co je k dispozici, jsou ruzne proprietarni JS knihovny. Nebo prosim o doplneni, jak dnes bezpecne a predevsim obecne funkcne pouzivat na webu el. certifikaty a predevsim el. podpisy. Dekuji.

30. 12. 2015 10:58

Vencour (neregistrovaný)

Viz KB Juniperu (https://www.juniper.net/support/eol/ns_hw.html), podporované jsou ještě největší (nejdražší) NetScreeny, dále SSG a ISG a podle všeho je na nich právě ScreenOS 6.3.x.
Release notes pro ScreenOS jsou na http://www.juniper.net/techpubs/en_US/screenos6.3.0/information-products/pathway-pages/screenos/index.html


Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR