Крупнейший поставщик сетевого оборудования Juniper Networks сообщил об удалении из будущих версий ScreenOS обеспечивающих недокументированные функции фрагментов кода, который мог использоваться спецслужбами и хакерами для получения несанкционированного доступа к данным.
Изменения будут внесены в следующей версии ScreenOS в первой половине 2016 года.
В декабря 2015 года Juniper сообщила об обнаружении двух закладок в исходном коде установленной на её оборудовании операционной системы ScreenOS, что позволяло осведомленному злоумышленнику получить административный доступ к устройствам NetScreen и расшифровке VPN-соединений.
Программно-аппаратные комплексы NetScreen — это корпоративные файерволы и VPN-продукты, используемые в том числе во многих дата-центрах. ScreenOS — специализированная операционная система, используемая для управления этими комплексами.
Обнаруженная ошибка серьёзно навредила репутации Juniper Networks.
Две уязвимости были обнаружены в ходе ревизии кода; им подвержены версии ScreenOS с 6.2.0r15 по 6.2.0r18 и с 6.3.0r12 по 6.3.0r20. Самая ранняя из этих версий была выпущена 12 сентября 2012 года. По заявлению компании, они не получали никаких уведомлений об использовании уязвимости злоумышленниками. ФБР в этой связи начало собственное расследование возможной утечки правительственных данных.
Каким образом уязвимости появились в операционной системе, неизвестно. Издание The Intercept опубликовало секретный документ из файлов бывшего сотрудника американских спецслужб Эдварда Сноудена, согласно которому Агентство национальной безопасности США знало о существовании постороннего кода с 2011 года и могло использовать его в собственных целях. Однако нет прямых доказательств, свидетельствующих о причастности властей к появлению неавторизованного кода в ПО Juniper.
