Hasta principios de esta semana, el sitio web de soporte para proveedores de equipos de red Redes de enebro estaba exponiendo información potencialmente confidencial vinculada a los productos de los clientes, incluidos los dispositivos que compraron los clientes, así como el estado de la garantía de cada producto, los contratos de servicio y los números de serie. Juniper dijo que desde entonces solucionó el problema y que la exposición inadvertida de los datos se debió a una actualización reciente de su portal de soporte.
Juniper Networks, con sede en Sunnyvale, California, fabrica enrutadores y conmutadores de Internet de alta potencia, y sus productos se utilizan en algunas de las organizaciones más grandes del mundo. A principios de esta semana, KrebsOnSecurity escuchó a un lector responsable de administrar varios dispositivos Juniper, quien descubrió que podía usar el portal de soporte al cliente de Juniper para encontrar información sobre dispositivos y contratos de soporte para otros clientes de Juniper.
logan george es un pasante de 17 años que trabaja para una organización que utiliza productos Juniper. George dijo que encontró la exposición de datos a principios de esta semana por accidente mientras buscaba información de soporte sobre un producto de Juniper en particular.
George descubrió que después de iniciar sesión con una cuenta de cliente normal, el sitio web de soporte de Juniper le permitía enumerar información detallada sobre prácticamente cualquier dispositivo Juniper comprado por otros clientes. Buscando en Amazon.com en el portal Juniper, por ejemplo, arrojó decenas de miles de registros. Cada registro incluía el modelo y el número de serie del dispositivo, la ubicación aproximada donde está instalado, así como el estado del dispositivo y la información del contrato de soporte asociado.
Información expuesta por el portal de soporte de Juniper. Las columnas que no se muestran incluyen el número de serie, el número de referencia de soporte de software, el producto, la fecha de vencimiento de la garantía y el ID del contrato.
George dijo que la información del contrato de soporte expuesta es potencialmente confidencial porque muestra qué productos Juniper tienen más probabilidades de carecer de actualizaciones de seguridad críticas.
“Si no tienes un contrato de soporte, no recibes actualizaciones, es tan simple como eso”, dijo George. “Utilizando los números de serie, pude ver qué productos no están sujetos a contratos de soporte. Y luego podría limitar dónde se envió cada dispositivo a través de su sistema de seguimiento de número de serie y, potencialmente, ver todo lo que se envió a la misma ubicación. Muchas empresas no actualizan sus conmutadores con mucha frecuencia y saber qué utilizan permite saber qué vectores de ataque son posibles”.
En una declaración escrita, Juniper dijo que la exposición de los datos fue el resultado de una reciente actualización de su portal de soporte.
“Nos enteramos de un problema involuntario que permitía a los usuarios registrados en nuestro sistema acceder a números de serie que no estaban asociados con su cuenta”, se lee en el comunicado. “Actuamos con prontitud para resolver este problema y no tenemos motivos para creer en este momento que ningún dato personal o identificable del cliente haya sido expuesto de alguna manera. Nos tomamos estos asuntos en serio y siempre utilizamos estas experiencias para evitar futuros incidentes similares. Estamos trabajando activamente para determinar la causa raíz de este defecto y agradecemos al investigador por informarnos sobre esto”.
La compañía aún no ha respondido a las solicitudes de información sobre cuándo exactamente se introdujeron esos derechos de usuario demasiado permisivos. Sin embargo, los cambios pueden remontarse a septiembre de 2023, cuando Juniper anunció que había reconstruido su portal de atención al cliente.
George le dijo a KrebsOnSecurity que el back-end del sitio web de soporte de Juniper parece estar respaldado por Fuerza de ventasy que Juniper probablemente no tenía los permisos de usuario adecuados establecidos en sus activos de Salesforce. En abril de 2023, KrebsOnSecurity publicó una investigación que mostraba que una cantidad sorprendente de organizaciones, incluidos bancos, proveedores de atención médica y gobiernos estatales y locales, estaban filtrando datos privados y confidenciales gracias a instalaciones mal configuradas de Salesforce.
nicolas tejedorUn investigador del Instituto Internacional de Ciencias de la Computación (ICSI) de la Universidad de California en Berkeley y profesor de la UC Davis, dijo que la complejidad de los portales de soporte técnico modernos deja mucho margen de error.
“Esto es un recordatorio de lo difícil que es construir estos grandes sistemas como portales de soporte, donde es necesario poder administrar millones de usuarios con distintos roles de acceso”, dijo Weaver. “Un pequeño error puede producir resultados divertidos”.
El mes pasado, el fabricante de computadoras Empresa Hewlett Packard anunció que compraría Juniper Networks por 14 mil millones de dólares, supuestamente para ayudar a reforzar las ofertas de inteligencia artificial de la compañía de tecnología de 100 años de antigüedad.
Actualización, 11:01 am ET: Una versión anterior de esta historia citó a George diciendo que pudo ver información de apoyo para el Departamento de Defensa de EE. UU. Desde entonces, George ha aclarado que, si bien un bloque de registros de dispositivos que encontró tenía la etiqueta “Departamento de Defensa”, ese registro parece pertenecer a un país diferente.
