Flere nettverksprodukter fra amerikanske Fortinet har en udokumentert SSH-konto for fjernaksess, med et hardkodet passord kunden ikke kan bytte.
- Les saken: Bakdør påvist i brannmur fra Fortinet
Listen over berørte produkter vokser etter at selskapet har foretatt en bredere granskning, inkludert gjennomgang av all kildekode.
Konklusjonen er at flere versjoner av Fortiswitch, Fortianalyzer samt Forticache også er omfattet, og dermed risikerer uautorisert tilgang.
I en redegjørelse gjentar selskapet sitt budskap om at den udokumenterte kontoen er der som en utilsiktet konsekvens, og ikke resultat av ond vilje.
– Det er viktig å få med seg at dette ikke er en ondsinnet bakdør implementert for å gi uautorisert brukertilgang. Som vi har sagt tidligere er dette en utilsiktet konsekvens av en funksjon, som ble laget for å tilby sømløs tilgang fra en autorisert Fortimanager til registrerte Fortigate-enheter.
Selskapet anbefaler kundene om å straks oppdatere relevant utstyr. Varselet ramser opp følgende enheter og versjoner som berørt:
- Fortianalyser versjoner 5.0.5 til 5.0.11 og 5.2.0 til 5.2.4 (4.3-serien er ikke berørt)
- Fortiswitch versjoner fra 3.0.0 til 3.3.2
- Forticache versjoner 3.0.0 til 3.0.7 (3.1-serien er ikke berørt)
- FortiOS versjoner fra 4.1.0 til 4.1.10
- FortiOS versjoner fra 4.2.0 til 4.2.15
- FortiOS versjoner fra 5.0.0 til 5.0.7
Kina-skanning
Sikkerhetseksperter fra SANS Intitute har dokumentert en økning i antall skanneforsøk, der noen forsøker å identifisere og eventuelt kompromittere sårbare Fortinet-bokser.
Det er nok en enkel jobb ettersom både brukernavn og passord for den udokumenterte SSH-kontoen nå er viden kjent.
Mesteparten av skanningen ble utført fra to kinesiske IP-adresser, opplyser SANS Institute.
- Så hvis du ikke allerede har installert sikkerhetsoppdateringene og beskyttet enhetene bak en brannmur, så er sjansen stor for at du allerede er blitt skannet og muligens kompromittert.
