Os engenheiros da Lenovo descobriram backdoor no firmware de switch de rede RackSwitch e BladeCenter. A empresa lançou atualizações de firmware no início desta semana.
A empresa chinesa disse que encontrou o backdoor após uma auditoria de segurança interna de firmware para produtos adicionados ao seu portfólio após as aquisições de outras empresas.
Backdoor adicionado em 2004
A Lenovo diz que o backdoor afeta apenas os switches RackSwitch e BladeCenter que executam o ENOS (Enterprise Network Operating System). O backdoor foi adicionado à ENOS em 2004, quando a ENOS foi mantida pela Unidade de Negócio Switch Blade Server (BSSBU) da Nortel.
A Lenovo afirma que a Nortel parece ter autorizado a adição do backdoor “a pedido de um cliente OEM da BSSBU”. Em um aviso de segurança sobre esse problema, a Lenovo se refere ao backdoor sob o nome de “backdoor HP”. O código de backdoor parece ter permanecido no firmware, mesmo depois de Nortel ter rodado o BSSBU em 2006 como BLADE Network Technologies (BNT).
O backdoor também permaneceu no código, mesmo depois da IBM ter adquirido o BNT em 2010. A Lenovo comprou o portfólio BNT da IBM em 2014.
Atualizações lançadas para switches Lenovo e IBM
“A existência de mecanismos que ignoram a autenticação ou a autorização são inaceitáveis para a Lenovo e não seguem a segurança do produto Lenovo ou as práticas da indústria”,
disse Lenovo.
“A Lenovo removeu este mecanismo do código fonte ENOS e lançou firmware atualizado para produtos afetados”.
As atualizações estão disponíveis para os switches mais novos que usam a marca da Lenovo, mas também para os switches mais antigos da IBM que ainda estão em circulação e que executam o ENOS. Uma lista de switches que receberam atualizações de firmware, juntamente com links de download para o firmware, estão disponíveis em um aviso de segurança da Lenovo . A Lenovo disse que o backdoor não é encontrado no CNOS (Cloud Network Operating System), então as interrupções que executam este sistema operacional são seguras.
Backdoor é difícil de explorar
O chamado “backdoor HP” não é uma conta oculta, mas um mecanismo de bypass de autenticação que ocorre em condições muito rigorosas. Os switches RackSwitch e BladeCenter suportam vários métodos de autenticação, via SSH, Telnet, uma interface baseada na web e um console serial.
Um invasor pode explorar esse backdoor e ignorar a autenticação quando os switches afetados possuem vários mecanismos de autenticação e recursos de segurança ativados ou desativados. A Lenovo descreve as várias configurações nas quais o backdoor se torna ativo no aviso de segurança acima mencionado. Se os clientes que usam essas opções não podem atualizar imediatamente, há atenuações que podem ser aplicadas e impedem a ativação da porta traseira.
Esse problema é rastreado com o identificador CVE-2017-3765.
[su_button url=”https://www.bleepingcomputer.com” target=”blank” text_shadow=”0px 0px 0px #000000″ rel=”nofollow”]FONTE: BLEEPING COMPUTER[/su_button]