Kongres AS untuk lembaga federal: Anda memiliki dua minggu untuk menghitung backdoored Juniper kit Anda

Sebarkan :

DPR ingin mengukur dampak dari baru-baru ini backdoors Juniper ScreenOS pada departemen dan instansi pemerintah

Juniper telah mengeluarkan patch untuk apa yang dikatakannya adalah kode yang tidak sah yang ditemukan di firewall yang berjalan nya ScreenOS.

Sekitar dua departemen pemerintah lusin AS dan badan-badan federal sedang diinterogasi oleh Kongres AS pada apakah mereka menggunakan backdoored Juniper peralatan keamanan jaringan.

Pada bulan Desember, Juniper Networks mengumumkan bahwa mereka telah menemukan kode yang tidak sah ditambahkan ke ScreenOS, sistem operasi yang berjalan pada perusahaan firewall jaringan NetScreen. Kode nakal, yang tetap tidak terdeteksi selama 2 tahun atau lebih, bisa memungkinkan penyerang remote untuk mendapatkan akses administratif ke perangkat rentan atau untuk mendekripsi koneksi VPN.

DPR AS Komite Perwakilan ‘Pengawasan dan Reformasi Pemerintah ingin menentukan dampak bahwa masalah ini telah di organisasi pemerintah dan bagaimana organisasi yang terkena merespon kejadian tersebut.

Komite mengirim surat pada 21 Januari untuk Departemen Pertahanan, Departemen Kesehatan, Departemen Luar Negeri, yang Securities and Exchange Commission (SEC), Peraturan Komisi Nuklir, NASA, Administrasi Keamanan Sosial, USAID dan banyak instansi pemerintah lainnya.

Surat-surat meminta penerima untuk mengidentifikasi apakah mereka menggunakan perangkat yang menjalankan versi ScreenOS yang terkena, untuk menjelaskan bagaimana mereka belajar tentang isu-isu dan apakah mereka mengambil tindakan korektif sebelum Juniper merilis patch dan untuk menentukan ketika mereka diterapkan patch perusahaan.

Baca juga:   Rumah Sakit Hollywood terkena virus ransomware, hacker meminta 9,000 bitcoin

Organisasi mempertanyakan hanya dua minggu, sampai 4 Februari, untuk merespon dan menyerahkan dokumen-dokumen yang sesuai, waktu yang sangat ketat memberikan bahwa “periode waktu yang dicakup oleh permintaan ini adalah dari 1 Januari 2009 hingga saat ini.”

Menentukan apakah divisi dari departemen atau instansi pemerintah menggunakan alat Juniper rentan untuk setiap periode waktu mungkin terbukti sulit, terutama jika persediaan akurat belum disimpan. Misalnya, tahun lalu, karena catatan persediaan tidak akurat, Internal Revenue Service tidak tahu apakah 1.300 komputer yang telah ditingkatkan dari Windows XP, yang sudah pensiun oleh Microsoft pada April 2014.

Peneliti keamanan memperkirakan bahwa backdoor VPN diperkenalkan ke ScreenOS pada bulan Agustus 2012 dan akses administratif satu pada akhir 2013. Juniper belum mengungkapkan siapa dan bagaimana menambahkan kode yang tidak sah ke ScreenOS dan insiden dilaporkan sedang diselidiki oleh FBI.

Ini juga akan menarik untuk melihat apakah Komite Pengawasan dan Reformasi Pemerintah hanya tertarik pada kasus ini, atau akan membuat pertanyaan yang sama ke depan. Setelah semua, backdoor seperti kerentanan disengaja atau tidak disengaja – seperti rekening administratif tersembunyi dengan keras-kode, password statis – sering ditemukan dalam produk-produk jaringan dari berbagai vendor, dan beberapa dari mereka yang mungkin digunakan oleh instansi pemerintah. 

Leave a Reply

Your email address will not be published.