Часть продукции производства Juniper Networks оказалась уязвимой к атакам типа DROWN. В заявлении, опубликованном компанией, указано, что проблема присутствует во всех версиях ScreenOS, серии STRM/JSA и контроллерах WLC Wireless LAN Controller.
Уязвимостью не затронуты NSM (NSM4000, NSM3000, NSMXpress), JunosE, Junos OS, Junos Space, Standalone IDP, QFabric Director, WLAN SmartPass и WLAN RingMaster.
Juniper Networks намерена вскоре выпустить обновленные версии продуктов STRM/JSA. Немного позже будут доступны исправления для прочих программных комплексов.
В марте появилась информация об уязвимости в протоколе SSLv2, используя которую злоумышленники могут осуществлять атаки на HTTPS нового типа – DROWN. Благодаря наличию уязвимости у хакеров появляется возможность осуществлять перехват интернет-трафика и похищать конфиденциальную информацию.
Наличие доступа к промежуточному шлюзу позволяет хакеру под видом почтового или HTTPS-сервера захватывать контроль над шифрованным трафиком, осуществляя прием запросов от клиента и их передачу к настоящему серверу. Проблема затронула почти треть интернет-порталов, использующих зашифрованный HTTPS-протокол для передачи данных, включая такие сайты, как Alibaba, Buzzfeed, Flickr, Rambler, Samsung, Weather.com, Weibo и Yahoo. Как сообщают специалисты Skyhigh Cloud Security Labs, 98,9% организаций пользуются как минимум одним облачным сервисом, уязвимым к DROWN.