EpicMag – Yahoo

Lenovo descobre e remove backdoor em switches de rede

Emanuel Negromonte

Os engenheiros da Lenovo descobriram backdoor no firmware de switch de rede RackSwitch e BladeCenter. A empresa lançou atualizações de firmware no início desta semana.

A empresa chinesa disse que encontrou o backdoor após uma auditoria de segurança interna de firmware para produtos adicionados ao seu portfólio após as aquisições de outras empresas.

JTdCJTIyaWQlMjIlM0ElMjIyMjA3Njc2NDkyOCUyMiUyQyUyMm5ldHdvcmtDb2RlJTIyJTNBJTIyMjIwNjQxNDU2MDMlMjIlMkMlMjJlZmZlY3RpdmVSb290QWRVbml0SWQlMjIlM0ElMjIyMjA2MzE0NTc2OCUyMiUyQyUyMm5hbWUlMjIlM0ElMjJERU5UUk9fRE9fQVJUSUdPJTIyJTJDJTIycGFyZW50UGF0aCUyMiUzQSU3QiUyMmlkJTIyJTNBJTIyMjIwNjMxNDU3NjglMjIlMkMlMjJuYW1lJTIyJTNBJTIyY2EtcHViLTk0OTcxMjgwMTc5NzM5OTklMjIlMkMlMjJhZFVuaXRDb2RlJTIyJTNBJTIyY2EtcHViLTk0OTcxMjgwMTc5NzM5OTklMjIlN0QlMkMlMjJhZFVuaXRDb2RlJTIyJTNBJTIyREVOVFJPX0RPX0FSVElHTyUyMiUyQyUyMmRlc2NyaXB0aW9uJTIyJTNBJTIyJTIyJTJDJTIyaXNGbHVpZCUyMiUzQWZhbHNlJTJDJTIyaXNOYXRpdmUlMjIlM0F0cnVlJTJDJTIyYWRVbml0U2l6ZXMlMjIlM0ElNUIlN0IlMjJzaXplJTIyJTNBJTdCJTIyd2lkdGglMjIlM0ElMjIzMDAlMjIlMkMlMjJoZWlnaHQlMjIlM0ElMjIyNTAlMjIlMkMlMjJpc0FzcGVjdFJhdGlvJTIyJTNBJTIyZmFsc2UlMjIlN0QlMkMlMjJlbnZpcm9ubWVudFR5cGUlMjIlM0ElMjJCUk9XU0VSJTIyJTJDJTIyZnVsbERpc3BsYXlTdHJpbmclMjIlM0ElMjIzMDB4MjUwJTIyJTJDJTIyaXNBdWRpbyUyMiUzQSUyMmZhbHNlJTIyJTdEJTJDJTdCJTIyc2l6ZSUyMiUzQSU3QiUyMndpZHRoJTIyJTNBJTIyMzM2JTIyJTJDJTIyaGVpZ2h0JTIyJTNBJTIyMjgwJTIyJTJDJTIyaXNBc3BlY3RSYXRpbyUyMiUzQSUyMmZhbHNlJTIyJTdEJTJDJTIyZW52aXJvbm1lbnRUeXBlJTIyJTNBJTIyQlJPV1NFUiUyMiUyQyUyMmZ1bGxEaXNwbGF5U3RyaW5nJTIyJTNBJTIyMzM2eDI4MCUyMiUyQyUyMmlzQXVkaW8lMjIlM0ElMjJmYWxzZSUyMiU3RCU1RCU3RA==

Backdoor adicionado em 2004

A Lenovo diz que o backdoor afeta apenas os switches RackSwitch e BladeCenter que executam o ENOS (Enterprise Network Operating System). O backdoor foi adicionado à ENOS em 2004, quando a ENOS foi mantida pela Unidade de Negócio Switch Blade Server (BSSBU) da Nortel.

A Lenovo afirma que a Nortel parece ter autorizado a adição do backdoor “a pedido de um cliente OEM da BSSBU”. Em um aviso de segurança sobre esse problema, a Lenovo se refere ao backdoor sob o nome de “backdoor HP”. O código de backdoor parece ter permanecido no firmware, mesmo depois de Nortel ter rodado o BSSBU em 2006 como BLADE Network Technologies (BNT).

O backdoor também permaneceu no código, mesmo depois da IBM ter adquirido o BNT em 2010. A Lenovo comprou o portfólio BNT da IBM em 2014.

Atualizações lançadas para switches Lenovo e IBM

“A existência de mecanismos que ignoram a autenticação ou a autorização são inaceitáveis ​​para a Lenovo e não seguem a segurança do produto Lenovo ou as práticas da indústria”,

disse Lenovo.

“A Lenovo removeu este mecanismo do código fonte ENOS e lançou firmware atualizado para produtos afetados”.

As atualizações estão disponíveis para os switches mais novos que usam a marca da Lenovo, mas também para os switches mais antigos da IBM que ainda estão em circulação e que executam o ENOS. Uma lista de switches que receberam atualizações de firmware, juntamente com links de download para o firmware, estão disponíveis em um aviso de segurança da Lenovo . A Lenovo disse que o backdoor não é encontrado no CNOS (Cloud Network Operating System), então as interrupções que executam este sistema operacional são seguras.

Backdoor é difícil de explorar

O chamado “backdoor HP” não é uma conta oculta, mas um mecanismo de bypass de autenticação que ocorre em condições muito rigorosas. Os switches RackSwitch e BladeCenter suportam vários métodos de autenticação, via SSH, Telnet, uma interface baseada na web e um console serial.

Um invasor pode explorar esse backdoor e ignorar a autenticação quando os switches afetados possuem vários mecanismos de autenticação e recursos de segurança ativados ou desativados. A Lenovo descreve as várias configurações nas quais o backdoor se torna ativo no aviso de segurança acima mencionado. Se os clientes que usam essas opções não podem atualizar imediatamente, há atenuações que podem ser aplicadas e impedem a ativação da porta traseira.

Esse problema é rastreado com o identificador CVE-2017-3765.

[su_button url=”https://www.bleepingcomputer.com” target=”blank” text_shadow=”0px 0px 0px #000000″ rel=”nofollow”]FONTE: BLEEPING COMPUTER[/su_button]

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
Sair da versão mobile