Новости Неудачное обновление: данные о десятках тысяч устройств Juniper в открытом доступе

NewsMaker

I'm just a script
Премиум
7,942
16
8 Ноя 2022
Ошибка компании может привести к волне фишинговых атак и многочисленным взломам.


efs5qd8fbpgg2jbjyng5r8q8algsig8r.jpg


На прошлой неделе стало известно, что веб-сайт поддержки производителя сетевого оборудования Juniper Networks ненамеренно раскрывал потенциально чувствительную информацию о продуктах клиентов, включая данные о приобретенных устройствах, статусе гарантии, сервисных контрактах и серийных номерах. По заявлениям компании, проблема уже устранена. Ошибка была связана с недавним обновлением портала поддержки. Об этом Для просмотра ссылки Войди или Зарегистрируйся портал KrebsOnSecurity.

Специалист, отвечающий за управление устройствами Juniper, обнаружил возможность доступа к информации о девайсах и контрактах на поддержку других клиентов Juniper через портал поддержки компании.

17-летний стажер Логан Джордж, работающий в организации, использующей продукты Juniper, случайно обнаружил уязвимость, когда искал информацию о поддержке конкретного продукта Juniper.


w3ft4f82c9k19b2v25dm5mssdr7gnt29.png


Раскрытый список устройств

Войдя в систему с обычным пользовательским аккаунтом, Джордж смог получить доступ к подробной информации о любом устройстве Juniper, приобретенном другими клиентами. Поиск по порталу Juniper выдал десятки тысяч записей, включая модель и серийный номер устройства, приблизительное местоположение его установки, а также статус устройства и информацию о связанном с ним сервисном контракте.

Джордж подчеркнул, что раскрытая информация о сервисных контрактах может быть чувствительной, так как показывает, какие продукты Juniper лишены критических обновлений безопасности. Если у пользователя нет сервисного контракта, он не получает обновлений, объяснил специалист.

Juniper Для просмотра ссылки Войди или Зарегистрируйся сообщила, что раскрытие данных было результатом недавнего обновления портала поддержки. Компания заявила, что оперативно устранила проблему и подтвердила, что личные данные клиентов не были раскрыты.

Компания не уточнила, когда именно были введены такие чрезмерные права пользователей. Однако изменения могут датироваться еще сентябрем 2023 года, когда Juniper объявила о перестройке своего портала поддержки клиентов. Джордж сообщил KrebsOnSecurity, что серверная часть веб-сайта поддержки Juniper, судя по всему, поддерживается Salesforce, и что Juniper, вероятно, не имеет надлежащих разрешений пользователя, установленных для своих активов Salesforce.

Напомним, что Для просмотра ссылки Войди или Зарегистрируйся сложную фишинговую атаку, основанную на уязвимости нулевого дня в электронной почте и SMTP-серверах Salesforce. Злоумышленники использовали недостаток для создания мошеннических писем, которые имитировали сообщения от компании Salesforce. Таким образом киберпреступники смогли обойти стандартные методы обнаружения и атаковать пользователей.
 
Источник новости
www.securitylab.ru

Похожие темы