Lenovo descobre e remove backdoor em switches de rede

Os engenheiros da Lenovo descobriram backdoor no firmware de switch de rede RackSwitch e BladeCenter. A empresa lançou atualizações de firmware no início desta semana.

A empresa chinesa disse que encontrou o backdoor após uma auditoria de segurança interna de firmware para produtos adicionados ao seu portfólio após as aquisições de outras empresas.

Backdoor adicionado em 2004

A Lenovo diz que o backdoor afeta apenas os switches RackSwitch e BladeCenter que executam o ENOS (Enterprise Network Operating System). O backdoor foi adicionado à ENOS em 2004, quando a ENOS foi mantida pela Unidade de Negócio Switch Blade Server (BSSBU) da Nortel.

A Lenovo afirma que a Nortel parece ter autorizado a adição do backdoor “a pedido de um cliente OEM da BSSBU”. Em um aviso de segurança sobre esse problema, a Lenovo se refere ao backdoor sob o nome de “backdoor HP”. O código de backdoor parece ter permanecido no firmware, mesmo depois de Nortel ter rodado o BSSBU em 2006 como BLADE Network Technologies (BNT).

O backdoor também permaneceu no código, mesmo depois da IBM ter adquirido o BNT em 2010. A Lenovo comprou o portfólio BNT da IBM em 2014.

Atualizações lançadas para switches Lenovo e IBM

“A existência de mecanismos que ignoram a autenticação ou a autorização são inaceitáveis ​​para a Lenovo e não seguem a segurança do produto Lenovo ou as práticas da indústria”,

disse Lenovo.

“A Lenovo removeu este mecanismo do código fonte ENOS e lançou firmware atualizado para produtos afetados”.

As atualizações estão disponíveis para os switches mais novos que usam a marca da Lenovo, mas também para os switches mais antigos da IBM que ainda estão em circulação e que executam o ENOS. Uma lista de switches que receberam atualizações de firmware, juntamente com links de download para o firmware, estão disponíveis em um aviso de segurança da Lenovo . A Lenovo disse que o backdoor não é encontrado no CNOS (Cloud Network Operating System), então as interrupções que executam este sistema operacional são seguras.

Backdoor é difícil de explorar

O chamado “backdoor HP” não é uma conta oculta, mas um mecanismo de bypass de autenticação que ocorre em condições muito rigorosas. Os switches RackSwitch e BladeCenter suportam vários métodos de autenticação, via SSH, Telnet, uma interface baseada na web e um console serial.

Um invasor pode explorar esse backdoor e ignorar a autenticação quando os switches afetados possuem vários mecanismos de autenticação e recursos de segurança ativados ou desativados. A Lenovo descreve as várias configurações nas quais o backdoor se torna ativo no aviso de segurança acima mencionado. Se os clientes que usam essas opções não podem atualizar imediatamente, há atenuações que podem ser aplicadas e impedem a ativação da porta traseira.

Esse problema é rastreado com o identificador CVE-2017-3765.

FONTE: BLEEPING COMPUTER

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *