Ошибка компании может привести к волне фишинговых атак и многочисленным взломам.
На прошлой неделе стало известно, что веб-сайт поддержки производителя сетевого оборудования Juniper Networks ненамеренно раскрывал потенциально чувствительную информацию о продуктах клиентов, включая данные о приобретенных устройствах, статусе гарантии, сервисных контрактах и серийных номерах. По заявлениям компании, проблема уже устранена. Ошибка была связана с недавним обновлением портала поддержки. Об этом сообщил портал KrebsOnSecurity.
Специалист, отвечающий за управление устройствами Juniper, обнаружил возможность доступа к информации о девайсах и контрактах на поддержку других клиентов Juniper через портал поддержки компании.
17-летний стажер Логан Джордж, работающий в организации, использующей продукты Juniper, случайно обнаружил уязвимость, когда искал информацию о поддержке конкретного продукта Juniper.
https://www.securitylab.ru/upload/me...ssdr7gnt29.png
Раскрытый список устройств
Войдя в систему с обычным пользовательским аккаунтом, Джордж смог получить доступ к подробной информации о любом устройстве Juniper, приобретенном другими клиентами. Поиск по порталу Juniper выдал десятки тысяч записей, включая модель и серийный номер устройства, приблизительное местоположение его установки, а также статус устройства и информацию о связанном с ним сервисном контракте.
Джордж подчеркнул, что раскрытая информация о сервисных контрактах может быть чувствительной, так как показывает, какие продукты Juniper лишены критических обновлений безопасности. Если у пользователя нет сервисного контракта, он не получает обновлений, объяснил специалист.
Juniper в официальном заявлении сообщила, что раскрытие данных было результатом недавнего обновления портала поддержки. Компания заявила, что оперативно устранила проблему и подтвердила, что личные данные клиентов не были раскрыты.
Компания не уточнила, когда именно были введены такие чрезмерные права пользователей. Однако изменения могут датироваться еще сентябрем 2023 года, когда Juniper объявила о перестройке своего портала поддержки клиентов. Джордж сообщил KrebsOnSecurity, что серверная часть веб-сайта поддержки Juniper, судя по всему, поддерживается Salesforce, и что Juniper, вероятно, не имеет надлежащих разрешений пользователя, установленных для своих активов Salesforce.
Напомним, что в прошлом году ИБ-компания Guardio раскрыла сложную фишинговую атаку, основанную на уязвимости нулевого дня в электронной почте и SMTP-серверах Salesforce. Злоумышленники использовали недостаток для создания мошеннических писем, которые имитировали сообщения от компании Salesforce. Таким образом киберпреступники смогли обойти стандартные методы обнаружения и атаковать пользователей.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://krebsonsecurity.com/2024/02/juniper-support-portal-exposed-customer-device-info/</pre>