Juniper заявила о будущем удалении обнаруженной закладки из операционной системы

Крупнейший поставщик сетевого оборудования Juniper Networks сообщил об удалении из будущих версий ScreenOS обеспечивающих недокументированные функции фрагментов кода, который мог использоваться спецслужбами и хакерами для получения несанкционированного доступа к данным.

Изменения будут внесены в следующей версии ScreenOS в первой половине 2016 года.

В декабря 2015 года Juniper сообщила об обнаружении двух закладок в исходном коде установленной на её оборудовании операционной системы ScreenOS, что позволяло осведомленному злоумышленнику получить административный доступ к устройствам NetScreen и расшифровке VPN-соединений.

Программно-аппаратные комплексы NetScreen — это корпоративные файерволы и VPN-продукты, используемые в том числе во многих дата-центрах. ScreenOS — специализированная операционная система, используемая для управления этими комплексами.

Обнаруженная ошибка серьёзно навредила репутации Juniper Networks.

Две уязвимости были обнаружены в ходе ревизии кода; им подвержены версии ScreenOS с 6.2.0r15 по 6.2.0r18 и с 6.3.0r12 по 6.3.0r20. Самая ранняя из этих версий была выпущена 12 сентября 2012 года. По заявлению компании, они не получали никаких уведомлений об использовании уязвимости злоумышленниками. ФБР в этой связи начало собственное расследование возможной утечки правительственных данных.

Каким образом уязвимости появились в операционной системе, неизвестно. Издание The Intercept опубликовало секретный документ из файлов бывшего сотрудника американских спецслужб Эдварда Сноудена, согласно которому Агентство национальной безопасности США знало о существовании постороннего кода с 2011 года и могло использовать его в собственных целях. Однако нет прямых доказательств, свидетельствующих о причастности властей к появлению неавторизованного кода в ПО Juniper.