Lenovo закрыла 14-летнюю уязвимость

Компания Lenovo залатала в своей сетевой операционной системе ENOS (Enterprise Networking Operating System) дыру, существовавшую с 2004 года, пишет Threatpost.

Уязвимость позволяла злоумышленникам обойти процедуру аутентификации, применив механизм под названием HP Backdoor. В результате атакующий может заполучить административный доступ к уязвимым коммутаторам.

Брешь классифицирована как серьезная и присутствует в упомянутой системе Lenovo ENOS, на которой базируются машины Lenovo наравне с IBM RackSwitch и BladeCenter.

Как выяснили специалисты компании, уязвимость внесли в коммутаторы 14 лет назад вместе с обновлением прошивки. За это ответственна уже несуществующая компания Nortel Networks, а именно — ее бизнес-подразделение по блейд-серверам и коммутаторам. В 2010 году компания Nortel продала бизнес-подразделение компании IBM, которая впоследствии перешла к Lenovo в 2014 году.

«Способ обхода аутентификации, известный как HP Backdoor, компания Lenovo нашла в рамках аудита безопасности в интерфейсах «последовательной» консоли, Telnet, SSH и веб-доступа. Чтобы воспользоваться бэкдором, нужно в определенных условиях выполнить локальную аутентификацию. В случае успеха можно получить административный доступ к коммутатору», — говорится в описании уязвимости в базе Common Vulnerabilities and Exposures (CVE-2017-3765).