A empresa emitiu na semana passada um alerta após a sua descoberta, em ScreenOS de código não autorizado pode permitir que um invasor obter o controle administrativo de dispositivos que utilizam a Netscreen (Acesso administrativo) ou para descriptografar uma rede privada virtual (VPN descriptografia).
As duas questões são independentes uns dos outros, de acordo com a empresa.
Juniper originalmente aconselhou todos os clientes que o código de acesso administrativo afetadas ScreenOS 6.30r12 através 6.30r20, e que o código de descriptografia VPN afetados ScreenOS 6.20r15 através 6.20r18, e aconselhou os usuários a atualizarem seus sistemas.
"Uma vez que nós identificamos essas vulnerabilidades, lançamos uma investigação sobre o assunto e trabalhou para desenvolver e emitir comunicados corrigidos para as últimas versões do ScreenOS", observou Bob Worrall, vice-presidente sênior e diretor de informática.
Essa investigação levou Juniper para restringir a lista de versões afetadas.
"Acesso administrativo ... só afeta ScreenOS 6.3.0r17 através 6.3.0r20", Worrall escreveu em atualização de domingo. "VPN Decodificação ... só afeta ScreenOS 6.2.0r15 através 6.2.0r18 e 6.3.0r12 através 6.3.0r20."
"É altamente recomendável que todos os clientes atualizem seus sistemas e aplicar esses lançamentos remendados com a mais alta prioridade", acrescentou.
Juniper não tinha recebido quaisquer notificações de exploração das vulnerabilidades quando emitiu o alerta inicial na semana passada, ea partir de segunda-feira, que não tinha nada mais para compartilhar sobre as questões de segurança, porta-voz Danielle Hamel disse TechNewsWorld.
As suspeitas NSA
Porque as vulnerabilidades são uma reminiscência das divulgações denunciante Ed Snowden feitas sobre técnicas NSA para obter acesso não autorizado a diversos sistemas de redes, as questões vieram à tona sobre se o código não autorizado pode ser conectado a backdoor vigilância do governo.
"O catálogo NSA ANT detalhou capacidades de penetrar firewalls Juniper e eles passaram um tempo considerável e de construção esforço capacidades personalizadas para vários fornecedores de firewall empresarial," Chumbo LogicNow Segurança Ian Trump disse TechNewsWorld.
Juniper recusou-se a responder a perguntas específicas do TechNewsWorld sobre o momento de sua descoberta das vulnerabilidades mais recentes, mas a empresa negou veementemente a trabalhar com funcionários do governo para instalar código capaz de explorar os seus próprios sistemas.
"Como já foi referido anteriormente, a Juniper Networks [tem] alegações desta natureza a sério", disse o porta-voz Hamel. "Para ser claro, nós não trabalhamos com os governos ou qualquer outra pessoa para introduzir propositadamente fraquezas ou vulnerabilidades em nossos produtos."
A empresa "opera de forma consistente com os mais altos padrões éticos" e tem o compromisso de "manter a integridade, segurança e garantia" de seus produtos, disse ela.
Juniper previamente investigado relatórios publicados em alemão Der Spiegel, que sugeriram que a NSA pode estar usando "implantes de software" para explorar vulnerabilidades em sua BIOS.
Notas de lançamento da empresa parecem mostrar as falhas ScreenOS afetadas remontam a pelo menos 2012.
Open Source Solution?
"Nós não sabemos se o culpado neste caso é a NSA ou algum outro ator baseado no estado, mas é claro que os fornecedores de equipamentos de rede são alvos - às vezes voluntariamente, às vezes não", disse Eli Dourado, bolseiro de investigação e diretor do Programa de Política de Tecnologia da Mercatus Center da George Mason University.
Movendo-se mais do código que executa as entranhas da rede para um modelo de fonte aberta poderia evitar esse tipo de invasão, ele disse - e, na verdade, ele fez essa proposta em um ensaio de 2013 New York Times, na sequência de revelações de Snowden cerca de vigilância da NSA práticas.
"Com mais olhos sobre o código, que pode ser capaz de desencorajar algumas dessas tentativas de hacking e detectar melhor os que não sejam dissuadidos", explicou Dourado.
O impacto potencial sobre a base de clientes da Juniper provavelmente será curto prazo, disse Avivah Litan, vice-presidente e analista do Gartner.
"Eu acho que é seguro assumir que cada empresa de tecnologia de rede teve sua tecnologia comprometida por algum governo, e eu acho que a maioria dos CIOs percebem isso", ela disse TechNewsWorld. "A Juniper não é diferente do que outros a esse respeito."
