Juniper Networks แถลง ScreenOS และ Junos OS จะปลอดภัยยิ่งขึ้น พร้อมเปิดเผยวิธีแก้ปัญหาโค้ดแปลกปลอม

juniper_netscreen_banner

หลังจากที่ ScreenOS ที่เป็นระบบปฏิบัติการหลักของ Juniper Netscreen ได้ถูกเปิดเผยว่ามีโค้ดแปลกปลอมสร้างช่องโหว่ให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ต่างๆ ได้ด้วยรหัสผ่านแบบตายตัว รวมถึงถอดรหัสของการทำ VPN ได้นั้น ในสัปดาห์ที่ผ่านมานี้ Juniper Networks ก็ได้ออกแถลงถึงสิ่งต่างๆ ที่ทีมงานของ Juniper Networks ได้ปรับปรุงแก้ไข เพื่อให้ลูกค้ามั่นใจได้ว่านับจากนี้ไปผลิตภัณฑ์ของ Juniper Networks จะปลอดภัยยิ่งกว่าแต่เก่าอีกด้วยซ้ำ ดังนี้

สิ่งแรกที่ Juniper ทำก็คือการนำโค้ดที่อันตรายเหล่านี้ออก และออก Patch ให้แก่ลูกค้าทั้งหมดได้อัพทันทีเพื่อแก้ไขปัญหาเหล่านี้ จากนั้น Juniper ก็เร่งตรวจสอบ Source Code ทั้งของ ScreenOS และ Junos OS ไปพร้อมๆ กัน โดยเฉพาะในส่วนของการทำ VPN, การเข้ารหัส และการยืนยันตัวตน พร้อมแถลงว่าไม่พบโค้ดต้องสงสัยอื่นๆ อีก และสำหรับ Junos OS ที่เป็นระบบปฏิบัติการรุ่นปัจจุบันของ Juniper นั้นก็มีกระบวนการต่างๆ เข้ามามากมายในระบบ Build ทำให้การเพิ่มเติมโค้ดแปลกปลอมเข้ามาในระบบให้สำเร็จได้นั้น ทำได้ยากยิ่งขึ้นเป็นอย่างมาก

นอกจากนี้ระบบสร้างตัวเลขแบบสุ่มของ ScreenOS ได้แก่ Dual_EC และ ANSI X9.31 ที่อาจมีปัญหาจนทำให้ผู้โจมตีสามารถอดรหัสของ VPN ได้นั้น ถึงแม้ทาง Juniper จะเชื่อว่า Patch ล่าสุดนั้นปลอดภัยเพียงพอแล้ว แต่เพื่อให้ลูกค้าผู้ใช้งานทั้งหมดสบายใจ ระบบนี้ก็ถูกปรับเปลี่ยนให้ใช้เทคโนโลยีเดียวกับ Junos OS แทน และจะเปิดให้ลูกค้าทั้งหมดสามารถใช้งานได้ภายในครึ่งปีแรกของปี 2016 นี้

ใครที่ใช้ ScreenOS อยู่ก็ควรอัพ Patch เป็นรุ่นล่าสุดทันทีนะครับ และคอยประสานงานกับ Vendor อย่างสม่ำเสมอว่าควรจะต้องอัพเกรดอะไรต่อไปเมื่อไหร่บ้าง ส่วนผู้ใช้ Junos OS ก็สบายใจได้ แต่ก็ควรคอยหมั่นอัพเดตระบบเช่นกันครับ

ที่มา: https://forums.juniper.net/t5/Security-Incident-Response/Advancing-the-Security-of-Juniper-Products/ba-p/286383 


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ลือ! HPE ดอดเจรจาซื้อ Nutanix

Bloomberg ได้กระพือข่าวความเคลื่อนไหวถึงดีลครั้งใหญ่ที่อาจกำลังเจรจากันอยู่ระหว่าง 2 ยักษ์ใหญ่ด้านไอทีอย่าง HPE และ Nutanix

AWS เปิดตัว Application Composer เครื่องมือ Low-code สำหรับสร้างแอปแบบ Serverless

การออกแบบแอปพลิเคชันแบบ Serverless ยังคงเป็นเครื่องหมายคำถามอยู่ว่าพวกเขาต้องเตรียมการอย่างไร ทั้งนี้ AWS ได้พยายามทำให้การทำงานนั้นเป็นเรื่องง่ายขึ้น