Корпоративное сетевое оборудование уязвимо для сердцебиения

14

09/04/2014 уязвимость Heartbleed была раскрыта командой OpenSSL .

Ошибка Heartbleed - серьезная уязвимость в популярной библиотеке криптографического программного обеспечения OpenSSL. Этот недостаток позволяет похищать информацию, защищенную в обычных условиях шифрованием SSL / TLS, используемым для защиты Интернета.

Можем ли мы составить список корпоративных сетевых устройств, уязвимых для сердечных сокращений ?

security radicetrentasei
источник
1
Естественно, что-то в огромном океане сетевых встроенных систем использует уязвимые библиотеки openssl; однако, какова цель вашего вопроса? Вы хотите создать список уязвимых устройств? Если это так, пожалуйста, сделайте это вики-сообществом ... в большинстве случаев я бы посчитал это опросом; однако, мод на другом сайте дал мне идею вики сообщества для такого рода неограниченных, но объективно проверяемых списков ... этот вопрос, кажется, подходит. Мы можем добавить один ответ в список всех устройств. Если ваша цель не состоит в том, чтобы перечислить все уязвимые устройства, пожалуйста, уточните свои намерения
Майк Пеннингтон,
1
Мы также начали альтернативный список здесь: docs.google.com/spreadsheets/d/…
Джош Брауэр

Ответы:

13

Как и в случае любой новой уязвимости, ее последствия имеют далеко идущие последствия. Инфраструктурные устройства ничем не отличаются. Большинство из них включают уязвимые пакеты OpenSSL.

Почти невозможно составить список каждого уязвимого продукта 1 , поскольку он затрагивает все, что включает библиотеки OpenSSL, созданные с использованием исходной реализации пульса OpenSSL TLS, до тех пор, пока исправление с сердечным патчем не будет передано стабильной ветви OpenSSL ; однако, мы можем перечислить продукты основных поставщиков здесь.


Это вики сообщества, вы можете внести свой вклад.


Аруба

  • ArubaOS 6.3.x, 6.4.x
  • ClearPass 6.1.x, 6.2.x, 6.3.x
  • Предыдущие версии этих продуктов использовали более раннюю версию OpenSSL, которая не уязвима .

Уязвимость в библиотеке OpenSSL 1.0.1 (Heartbleed).

Контрольно-пропускные пункты

SK 100173 утверждает, что продукты Checkpoint не являются уязвимыми.

Cisco

Следующие продукты Cisco подвержены этой уязвимости:

  • Cisco AnyConnect Secure Mobility Client для iOS [CSCuo17488]
  • Опыт совместной работы Cisco для настольных ПК DX650
  • IP-телефоны Cisco Unified серии 7800
  • IP-телефон Cisco Unified 8961
  • IP-телефон Cisco Unified 9951
  • IP-телефон Cisco Unified 9971
  • Cisco IOS XE [CSCuo19730]
  • Cisco Unified Communications Manager (UCM) 10.0
  • Cisco Universal Small Cell серии 5000 с программным обеспечением V3.4.2.x
  • Cisco Universal Small Cell 7000 Series с программным обеспечением V3.4.2.x
  • Корневая файловая система восстановления фабрики Small Cell V2.99.4 или новее
  • Cisco MS200X Ethernet Access Switch
  • Механизм обслуживания Cisco Mobility Service (MSE)
  • Сервер видеосвязи Cisco TelePresence (VCS) [CSCuo16472]
  • Проводник Cisco TelePresence
  • Cisco TelePresence Supervisor MSE 8050
  • Cisco TelePresence Server 8710, 7010
  • Сервер Cisco TelePresence на мультипартийной среде 310, 320
  • Сервер Cisco TelePresence на виртуальной машине
  • Шлюз Cisco TelePresence ISDN серий 8321 и 3201
  • Серия последовательных шлюзов Cisco TelePresence
  • Серия IP-шлюзов Cisco TelePresence
  • Cisco WebEx Meetings Server версии 2.x [CSCuo17528]
  • Cisco Security Manager [CSCuo19265]

Cisco Security Advisory - Уязвимость расширения пульса OpenSSL в нескольких продуктах Cisco

D-Link

По состоянию на 15 апреля 2014 года D-Link не имеет уязвимых продуктов.

Реагирование на инциденты безопасности для устройств и сервисов D-Link

Fortigate

  • FortiGate (FortiOS) 5.x
  • FortiAuthenticator 3.x
  • FortiMail 5.x
  • FortiVoice
  • FortiRecorder
  • Модели FortiADC серии D 1500D, 2000D и 4000D
  • FortiADC E-Series 3.x
  • Эквалайзер койотовых очков GX / LX 10.x

Уязвимость раскрытия информации в OpenSSL

F5

По состоянию на 10 апреля 2014 года следующие продукты / релизы F5, как известно, уязвимы

  • Версии BigIP LTM 11.5.0 - 11.5.1 (интерфейс Mgmt, совместимые шифры SSL)
  • Версии BigIP AAM 11.5.0 - 11.5.1 (интерфейс Mgmt, совместимые шифры SSL)
  • Версии BigIP AFM 11.5.0 - 11.5.1 (интерфейс Mgmt, совместимые шифры SSL)
  • Версии BigIP Analytics 11.5.0 - 11.5.1 (интерфейс Mgmt, совместимые шифры SSL)
  • Версии BigIP APM 11.5.0 - 11.5.1 (интерфейс Mgmt, совместимые шифры SSL)
  • Версии BigIP ASM 11.5.0 - 11.5.1 (интерфейс Mgmt, совместимые шифры SSL)
  • Версии BigIP GTM 11.5.0 - 11.5.1 (интерфейс Mgmt, совместимые шифры SSL)
  • Версии контроллера BigIP Link 11.5.0 - 11.5.1 (интерфейс Mgmt, совместимые шифры SSL)
  • Версии BigIP PEM 11.5.0 - 11.5.1 (интерфейс Mgmt, совместимые шифры SSL)
  • Версии BigIP PSM 11.5.0 - 11.5.1 (интерфейс Mgmt, совместимые шифры SSL)
  • Пограничные клиенты BIG-IP для версий Apple iOS 1.0.5, 2.0.0 - 2.0.1 (VPN)
  • Пограничные клиенты BIG-IP для версий Linux 6035 - 7101 (VPN)
  • Пограничные клиенты BIG-IP для Mac OSX версий 6035 - 7101 (VPN)
  • Пограничные клиенты BIG-IP для версий Windows 6035 - 7101 (VPN)

Уязвимость F5 Networks SOL 15159 OpenSSL, CVE-2014-0160

HP

По состоянию на 10 апреля

«Мы определили, что исследованные нами продукты не являются уязвимыми из-за того, что они используют версию OpenSSL, которая не уязвима, или не используют OpenSSL».

Сетевые коммуникации HP: Уязвимость OpenSSL HeartBleed

Huawei

По состоянию на 14 апреля

Расследование было завершено, и было подтверждено, что некоторые продукты Huawei затронуты. Компания Huawei подготовила план исправлений и приступила к разработке и тестированию исправленных версий. Huawei выпустит SA как можно скорее. Пожалуйста, не переключайтесь.

Уведомление о безопасности в отношении уязвимости OpenSSL, связанной с расширением пульса

можжевельник

Уязвимые продукты

  • Junos OS 13.3R1
  • Клиент Одиссея 5.6r5 и позже
  • SSL VPN (IVEOS) 7.4r1 и новее и SSL VPN (IVEOS) 8.0r1 и новее (Фиксированный код указан в разделе «Решение»)
  • UAC 4.4r1 и более поздние версии и UAC 5.0r1 и более поздние версии (исправленный код указан в разделе «Решение»)
  • Junos Pulse (Desktop) 5.0r1 и более поздних версий и Junos Pulse (Desktop) 4.0r5 и более поздних версий
  • Сетевое подключение (только для Windows) версии 7.4R5 - 7.4R9.1 и 8.0R1 - 8.0R3.1. (Этот клиент влияет только при использовании в режиме FIPS.)
  • Junos Pulse (Mobile) на Android версии 4.2R1 и выше.
  • Junos Pulse (Mobile) на iOS версии 4.2R1 и выше. (Этот клиент влияет только при использовании в режиме FIPS.)

Информационный центр Juniper - 2014-04 Бюллетень по безопасности вне цикла: несколько продуктов, затронутых проблемой «Heartbleed» OpenSSL (CVE-2014-0160)

Palo Alto Networks

PAN-OS не пострадала от кровотечения

обходные

Отключите ресурсы, использующие SSL, если можете, и полагайтесь на SSH, который, как заметил Майк Пеннингтон, не уязвим.

1 Этот список был составлен 10 апреля 2014 года, поставщики могут по-прежнему расследовать свою продукцию. Этот список не является руководством по уязвимости и служит только для того, чтобы дать первоначальному постеру представление о масштабах воздействия на сетевое оборудование.

Ryan Foley
источник
3
К вашему сведению, OpenSSH не подвержен сердечным приступам . Также напуганные цифры о сердечном кровотечении, затрагивающие 60% Интернета, являются поддельными. Уязвимы только библиотеки OpenSSL, созданные за последние два года (в частности, те, у которых есть этот тактовый импульс TLS ). Это число намного ниже, чем 60% Интернета.
Майк Пеннингтон
Отредактировано, чтобы отразить эту информацию. Спасибо за внимание. Я предположил, что информация была просто наживкой, я тоже это уберу.
Райан Фоли
Вы случайно не знаете, какая версия cisco IOS XE затронута?
@Phil, если вы перейдете по ссылке на страницу Cisco, там будет ссылка на ошибку с подробной информацией.
Radtrentasei