Неудачное обновление: данные о десятках тысяч устройств Juniper в открытом доступе

На прошлой неделе стало известно, что веб-сайт поддержки производителя сетевого оборудования Juniper Networks ненамеренно раскрывал потенциально чувствительную информацию о продуктах клиентов, включая данные о приобретенных устройствах, статусе гарантии, сервисных контрактах и серийных номерах. По заявлениям компании, проблема уже устранена. Ошибка была связана с недавним обновлением портала поддержки. Об этом сообщил портал KrebsOnSecurity.

Специалист, отвечающий за управление устройствами Juniper, обнаружил возможность доступа к информации о девайсах и контрактах на поддержку других клиентов Juniper через портал поддержки компании.

17-летний стажер Логан Джордж, работающий в организации, использующей продукты Juniper, случайно обнаружил уязвимость, когда искал информацию о поддержке конкретного продукта Juniper.

Раскрытый список устройств

Войдя в систему с обычным пользовательским аккаунтом, Джордж смог получить доступ к подробной информации о любом устройстве Juniper, приобретенном другими клиентами. Поиск по порталу Juniper выдал десятки тысяч записей, включая модель и серийный номер устройства, приблизительное местоположение его установки, а также статус устройства и информацию о связанном с ним сервисном контракте.

Джордж подчеркнул, что раскрытая информация о сервисных контрактах может быть чувствительной, так как показывает, какие продукты Juniper лишены критических обновлений безопасности. Если у пользователя нет сервисного контракта, он не получает обновлений, объяснил специалист.

Juniper в официальном заявлении сообщила, что раскрытие данных было результатом недавнего обновления портала поддержки. Компания заявила, что оперативно устранила проблему и подтвердила, что личные данные клиентов не были раскрыты.

Компания не уточнила, когда именно были введены такие чрезмерные права пользователей. Однако изменения могут датироваться еще сентябрем 2023 года, когда Juniper объявила о перестройке своего портала поддержки клиентов. Джордж сообщил KrebsOnSecurity, что серверная часть веб-сайта поддержки Juniper, судя по всему, поддерживается Salesforce, и что Juniper, вероятно, не имеет надлежащих разрешений пользователя, установленных для своих активов Salesforce.

Напомним, что в прошлом году ИБ-компания Guardio раскрыла сложную фишинговую атаку, основанную на уязвимости нулевого дня в электронной почте и SMTP-серверах Salesforce. Злоумышленники использовали недостаток для создания мошеннических писем, которые имитировали сообщения от компании Salesforce. Таким образом киберпреступники смогли обойти стандартные методы обнаружения и атаковать пользователей.