Fortinet har utsatt kundene sine for risko ved å inkludere en udokumentert SSH-konto med hardkodet passord. (Bilde: Colourbox/digi.no, fotofikling)

Fortinet

Bakdør påvist i brannmur fra Fortinet

Hemmelig konto kan gi full administrativ tilgang.

En udokumentert konto for fjerntilgang over Secure Shell (SSH) er påvist i brannmurprodukter fra amerikanske Fortinet.

Det var på lørdag at noen anonymt offentliggjorde et fullt fungerende pythonscript på epostlisten Full Discloure, som åpner opp berørte brannmurer.

Scriptet benytter SSH-kontoen med brukernavn «Fortimanager_Access» og et hardkodet passord. Kombinasjonen er nå viden kjent.

Det er med andre ord lurt å ta forholdsregler. Hvor mange systemadministratorer som tør å la SSH-tilgangen være eksponert mot internett kan nok diskuteres, men Fortinet anbefaler uansett at kunder oppgraderer programvaren.

Høy risiko

De berørte produktene kjører operativsystemet FortiOS i versjonene 4.3.0 til 4.3.16 og versjonene 5.0.0 til 5.0.7, ifølge en sikkerhetsadvarsel Fortinet kom med i går.

I varslet blir risikoen for kundene definert som høy.

Selskapet antyder langt på vei at de selv har implementert kontoen. Videre hevder de at det ikke dreier seg om en bakdør, men snarere et «autentiseringsproblem».

– Etter nærmere granskning kan vi bekrefte at dette ikke skyldes ondsinnede aktiviteter av noen aktører, verken internt eller eksternt, skriver Fortinet i en kunngjøring.

Her beskriver de den udokumenterte SSH-kontoen med hardkodet passord som «forholdet som nylig ble publisert offentlig».

– Dette ble løst med en sikkerhetsfiks gjort tilgjengelig i juli 2014, som ledd i Fortinets forpliktelse til å sikre kvaliteten og integriteten i kodebasen vår.

– Mistenkelig kode også i nyere versjoner

Noe varsel som beskriver fjerning av denne opplagte sikkerhetsrisikoen med en slik hemmelig, udokumentert og alternativ innloggingsmekanisme, har eksperter så langt ikke maktet å finne, ifølge Ars Technica.

Selv om oppgraderingen skal ha fjernet muligheten for uautorisert tilgang via kontoen, iallefall med det nå avslørte passordet, så inneholder også nyere versjoner av FortiOS-firmwaren mistenkelig kode, sier en ikke navngitt sikkerhetsforsker de har pratet med.

Vedkommende hevder at koden fortsatt inneholder det samme hardkodede passordet.

– En rekke deler av denne autentiseringsmekanismen er fortsatt til stede i nyere firmware, sier sikkerhetsforskeren til Ars Technica.

Fortinet er definert som én av to «utfordrere» i analysehuset Gartners siste Magic Quadrant-rapport om «enterprise network firewall»-markedet fra 2015. Bak de to ledende konkurrentene Check Point og Palo Alto Network, men foran en rekke nisjeaktører.

Til toppen