11/06/20
Более десятка американских чиновников направили письмо калифорнийскому провайдеру сетевых решений и решений для кибербезопасности Juniper Networks с целью спросить компанию о результатах расследования, начатого в 2015 году после обнаружения бэкдора в ее продуктах, сообщило издание SecurityWeek.
В конце 2015 года Juniper Networks в ходе проверки обнаружила неавторизованный код в операционной системе ScreenOS, послуживший причиной появления двух уязвимостей (CVE-2015-7755 и CVE-2015-7754), позволяющих злоумышленникам удаленно получить доступ с правами администратора к устройствам Juniper NetScreen и расшифровать VPN-трафик.
Вторая проблема была связана с использованием Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC DRBG), который ScreenOS использовал в качестве генератора псевдослучайных чисел. Dual EC DRBG содержала бэкдор, ответственность за появление которого предположительно лежит на Агентстве национальной безопасности США (АНБ).
«Прошло уже более четырех лет с тех пор, как Juniper Networks объявила о проведении расследования, однако компания до сих пор не сообщила, что именно она обнаружила. Американцы, а также компании и правительственные учреждения США, которые доверяли продуктам Juniper свои конфиденциальные данные, до сих пор не имеют информации о том, как Juniper допустила внедрение разработанного АНБ алгоритма шифрования с бэкдором», — сообщается в письме.
Власти предоставили Juniper Networks один месяц, чтобы ответить на восемь вопросов об инциденте, в том числе о решениях компании, касающихся Dual EC DRBG, результатах ее расследования, источнике несанкционированного кода, а также любых рекомендациях, сделанных и реализованных после исследования.
