Juniper Networks på söndagen informerade kunder att den senaste tidens hot mot säkerheten för sina ScreenOS var inte lika utbredd som man trodde till en början.
Företaget förra veckan utfärdade en varning efter dess upptäckt i ScreenOS av otillåten kod som kan tillåta en angripare att få administrativ styrning av enheter med hjälp av Netscreen
(Administrativ Åtkomst) eller för att dekryptera ett virtuellt privat nätverk (VPN Dekryptering).
De två frågor som är relaterade till varandra, enligt företaget.
Juniper ursprungligen rekommenderas alla kunder att de Administrativa kod påverkas ScreenOS 6.30r12 till 6.30r20, och att VPN-Dekryptering kod påverkas ScreenOS 6.20r15 till 6.20r18, och det uppmanas användare att lappa sina system.
“När vi identifierat dessa sårbarheter, vi inlett en utredning i frågan och arbetat för att utveckla och utfärda lappat pressmeddelanden för de senaste versionerna av ScreenOS”, konstaterade Bob Worrall, senior vice president och chief information officer.
Utredningen ledde Enbär för att begränsa listan över drabbade versioner.
“Administrativ Åtkomst … bara påverkar ScreenOS 6.3.0r17 genom 6.3.0r20,” Worrall skrev i söndagens uppdatering. “VPN-Dekryptering … bara påverkar ScreenOS 6.2.0r15 genom 6.2.0r18 och 6.3.0r12 genom 6.3.0r20.”
“Vi rekommenderar alla kunder att uppdatera sina system och tillämpa dessa lagas utsläpp med högsta prioritet”, tillade han.
Juniper hade inte fått några anmälningar om utnyttjande av sårbarheter när det avgav sitt ursprungliga registreringen förra veckan, och som på måndag, det hade inget mer att dela på säkerhetsfrågor, talesperson Danielle Hamel berättade TechNewsWorld.
NSA Misstankar
Eftersom de sårbarheter som påminner om upplysningar uppgiftslämnare Ed Snowden gjort om NSA tekniker för att få obehörig tillgång till olika nätverk, frågor som har dykt upp om att otillåten kod kan kopplas till bakdörr statlig övervakning.
“NSA ANT katalog har detaljerade förmåga att tränga Junipers brandväggar och de har spenderat mycket tid och ansträngning för att bygga skräddarsydda möjligheter för flera företag brandvägg leverantörer”
LogicNow Säkerhet Leda Ian Trump berättade TechNewsWorld.
Juniper har avböjt att svara på TechNewsWorld specifika frågor om tidpunkten för dess upptäckt av de senaste sårbarheter, men företaget häftigt förnekat att arbeta med regeringstjänstemän för att installera koden där du kan utnyttja sina egna system.
“Som vi har sagt tidigare, Juniper Networks [tar] påståenden av detta slag på allvar,” sade talespersonen Hamel. “För att vara tydlig, att vi inte samarbetar med myndigheter eller någon annan för att målmedvetet införa svagheter och sårbarheter i våra produkter.”
Företaget “konsekvent arbetar med högsta etiska standarder” och har förbundit sig att “upprätthålla integritet, trygghet och kontroll” av sina produkter, sade hon.
Juniper tidigare utretts rapporter som publicerats i tyska Der Spiegel, som föreslog att NSA kan vara med “programvara implantat” att utnyttja sårbarheter i BIOS.
Utgåvan från företaget verkar för att visa den drabbade ScreenOS brister går tillbaka till åtminstone 2012.
Open Source-Lösning?
“Vi vet inte om den skyldige i detta fall är NSA eller någon annan stat-skådespelare, men det är klart att nätverket tillhandahåller utrustning är mål-ibland frivilligt, ibland inte,” sade Eli Dourado, forskare och chef för Teknik Politiska Program vid George Mason University
Mercatus Center.
Att flytta mer av den kod som körs modet i nätverket till ett open source-modellen skulle kunna förhindra denna typ av intrång, sade han — och i själva verket han som förslag i en 2013 New York Times uppsats, följande Snowden s avslöjanden om NSA övervakningsmetoder.
“Med fler ögon på koden, vi kanske kan avskräcka en del av dessa försök till dataintrång och bättre upptäcka de som inte avskräckas,” Dourado förklaras.
De potentiella effekterna på Juniper kundbas sannolikt kommer att ske på kort sikt, sade Avivah Litan, vice vd och framstående analytiker på Gartner.
“Jag tror att det är säkert att anta varje nätverk teknik har företaget haft sin teknik äventyras av några regeringen, och jag tror att de flesta Cio: er att inse att,” hon berättade TechNewsWorld. “Juniper är inte annorlunda än andra i detta avseende.”
