Abonner

Bakdør påvist i brannmur fra Fortinet

Hemmelig konto kan gi full administrativ tilgang.

Fortinet har utsatt kundene sine for risko ved å inkludere en udokumentert SSH-konto med hardkodet passord.
Fortinet har utsatt kundene sine for risko ved å inkludere en udokumentert SSH-konto med hardkodet passord. Bilde: Colourbox/digi.no, fotofikling
Del
Kommenter
Marius B. JørgenrudMarius B. JørgenrudJournalist
13. jan. 2016 - 10:54

En udokumentert konto for fjerntilgang over Secure Shell (SSH) er påvist i brannmurprodukter fra amerikanske Fortinet.

Det var på lørdag at noen anonymt offentliggjorde et fullt fungerende pythonscript på epostlisten Full Discloure, som åpner opp berørte brannmurer.

Scriptet benytter SSH-kontoen med brukernavn «Fortimanager_Access» og et hardkodet passord. Kombinasjonen er nå viden kjent.

Det er med andre ord lurt å ta forholdsregler. Hvor mange systemadministratorer som tør å la SSH-tilgangen være eksponert mot internett kan nok diskuteres, men Fortinet anbefaler uansett at kunder oppgraderer programvaren.

Høy risiko

De berørte produktene kjører operativsystemet FortiOS i versjonene 4.3.0 til 4.3.16 og versjonene 5.0.0 til 5.0.7, ifølge en sikkerhetsadvarsel Fortinet kom med i går.

I varslet blir risikoen for kundene definert som høy.

Selskapet antyder langt på vei at de selv har implementert kontoen. Videre hevder de at det ikke dreier seg om en bakdør, men snarere et «autentiseringsproblem».

– Etter nærmere granskning kan vi bekrefte at dette ikke skyldes ondsinnede aktiviteter av noen aktører, verken internt eller eksternt, skriver Fortinet i en kunngjøring.

Her beskriver de den udokumenterte SSH-kontoen med hardkodet passord som «forholdet som nylig ble publisert offentlig».

Artikkelen fortsetter etter annonsen
annonsørinnhold
PwC
– Vi har vår egen ChatPwC som kjører lokalt. Vi deler derfor ingen informasjon ut av huset

– Dette ble løst med en sikkerhetsfiks gjort tilgjengelig i juli 2014, som ledd i Fortinets forpliktelse til å sikre kvaliteten og integriteten i kodebasen vår.

– Mistenkelig kode også i nyere versjoner

Noe varsel som beskriver fjerning av denne opplagte sikkerhetsrisikoen med en slik hemmelig, udokumentert og alternativ innloggingsmekanisme, har eksperter så langt ikke maktet å finne, ifølge Ars Technica.

Selv om oppgraderingen skal ha fjernet muligheten for uautorisert tilgang via kontoen, iallefall med det nå avslørte passordet, så inneholder også nyere versjoner av FortiOS-firmwaren mistenkelig kode, sier en ikke navngitt sikkerhetsforsker de har pratet med.

Vedkommende hevder at koden fortsatt inneholder det samme hardkodede passordet.

– En rekke deler av denne autentiseringsmekanismen er fortsatt til stede i nyere firmware, sier sikkerhetsforskeren til Ars Technica.

Fortinet er definert som én av to «utfordrere» i analysehuset Gartners siste Magic Quadrant-rapport om «enterprise network firewall»-markedet fra 2015. Bak de to ledende konkurrentene Check Point og Palo Alto Network, men foran en rekke nisjeaktører.

Les mer om:
ANGREPSKODEBRANNMURFORTINETNYHETSBREV
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Kreditorforeningen
Senior IT-konsulent
Kreditorforeningen
Bergen
30. apr.
    En tjeneste fra