| Разработчики: | Lenovo |
| Отрасли: | Информационные технологии |
| Технологии: | ОС |
2018: Обнаружение бэкдора
В январе 2018 года компания Lenovo сообщила о существовании бэкдора в операционной системе ENOS (Enterprise Network Operating System), которая используется в некоторых моделях коммутаторов Lenovo и IBM.
Проблема с присовенным идентификатором CVE-2017-3765, обнаруженная в коммутаторах Flex System Fabric, RackSwitch и BladeCenter, появилась еще в 2004 году, когда поддержкой ENOS занималось подразделение Blade Server Switch Business Unit (BSSBU) канадской компании Nortel. Как сообщили в Lenovo, Nortel одобрила внедрение бэкдора «по запросу клиента BSSBU». В уведомлении безопасности Lenovo бэкдор упоминается как «HP backdoor».
Бэкдор, существование которого подтвердила Lenovo, позволял получить доступ к интерфейсу управления коммутатором с правами администратора, используя предопределенные учетные данные, уникальные для каждого коммутатора. Ошибкой можно было воспользоваться при входе через ssh, telnet, последовательный порт или веб-интерфейс, в случае выполнения определенных условий в сочетании с комбинацией из локальной аутентификации и аутентификации через RADIUS или TACACS+. Подробности о способе активации данного бэкдора не раскрываются.
Используя эту уязвимость в коммутационном оборудовании IBM и Lenovo, хакеры могли изменить настройки, в том числе включить зеркалирование и анализ трафика, или нарушить нормальную работу ИТ-инфраструктуры компании. К январю 2018 года Lenovo устранила этот бэкдор.
 | Присутствие механизмов, позволяющих обойти аутентификацию или авторизацию, недопустимо для Lenovo и не согласуется с политикой Lenovo касательно безопасности продуктов и промышленной практики. Lenovo удалила этот механизм из исходного кода ENOS и выпустила обновленную прошивку для затронутых продуктов, — говорится в заявлении китайского производителя.[1] |  |
Примечания
Подрядчики-лидеры по количеству проектов
Ред Софт (Red Soft) (58) НППКТ (40) Softline (Софтлайн) (30) Базальт СПО (BaseALT) ранее ALT Linux (19) Астра Группа компаний (16) Другие (400) Ред Софт (Red Soft) (5) Аквариус (Aquarius) (1) Атлант (ГК Applite) (1) Галэкс ГК (Галэкс НТЦ) Galex (1) Галэкс Сервис (1) Другие (3) Ред Софт (Red Soft) (12) РТ МИС (РТ Медицинские информационные системы) (4) Лаборатория Касперского (Kaspersky) (1) МИАЦ Брянской области (Медицинский информационно-аналитический центр) (1) ОБИТ (1) Другие (14)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Microsoft (80, 144) Ред Софт (Red Soft) (4, 86) РусБИТех-Астра (ГК Астра) (6, 54) НППКТ (2, 41) ИВК (4, 36) Другие (332, 176) Ред Софт (Red Soft) (1, 5) ИВК (1, 2) Базальт СПО (BaseALT) ранее ALT Linux (1, 2) Microsoft (1, 1) Атлант (ГК Applite) (1, 1) Другие (0, 0) Ред Софт (Red Soft) (1, 16) Лаборатория Касперского (Kaspersky) (1, 1) Jolla (Sailfish Holding) (1, 1) Астра Группа компаний (1, 1) Открытая мобильная платформа (ОМП) (1, 1) Другие (2, 2) Ред Софт (Red Soft) (1, 9) Базальт СПО (BaseALT) ранее ALT Linux (2, 6) ИВК (2, 6) РусБИТех-Астра (ГК Астра) (3, 3) НЦПР Национальный центр поддержки и разработки (2, 2) Другие (9, 9) ИВК (2, 2) Базальт СПО (BaseALT) ранее ALT Linux (2, 2) Jolla (Sailfish Holding) (1, 1) Ред Софт (Red Soft) (1, 1) Открытая мобильная платформа (ОМП) (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Ред ОС (Red OS) - 81 Microsoft Windows - 60 НППКТ: ОСнова (Операционная система общего назначения, ОС ОН) - 41 Astra Linux Common Edition - 31 Astra Linux Special Edition - 24 Другие 227 Ред ОС (Red OS) - 5 ОС Альт (ранее Альт Линукс (ALT Linux) - 2 Windows Server 2019 - 1 Атлант ОС - 1 Другие 0 Ред ОС (Red OS) - 16 Astra Linux Mobile - 1 Synology NAS - DiskStation Manager - 1 Kaspersky Thin Client - 1 Аврора ОС - 1 Другие 0 Ред ОС (Red OS) - 9 ОС Альт (ранее Альт Линукс (ALT Linux) - 5 Роса Кобальт и Хром - 1 Аврора ОС - 1 Moc.OC Серверная - 1 Другие 8 Альт Рабочая станция - 1 Ред ОС (Red OS) - 1 Аврора ОС - 1 ОС Альт (ранее Альт Линукс (ALT Linux) - 1 Другие 0 
