Flere nettverksprodukter fra amerikanske Fortinet har en udokumentert SSH-konto for fjernaksess, med et hardkodet passord kunden ikke kan bytte.
- Les saken: Bakdør påvist i brannmur fra Fortinet
Listen over berørte produkter vokser etter at selskapet har foretatt en bredere granskning, inkludert gjennomgang av all kildekode.
%2520og%2520Magnus%2520Oxenwaldt%2520.jpg)
Konklusjonen er at flere versjoner av Fortiswitch, Fortianalyzer samt Forticache også er omfattet, og dermed risikerer uautorisert tilgang.
I en redegjørelse gjentar selskapet sitt budskap om at den udokumenterte kontoen er der som en utilsiktet konsekvens, og ikke resultat av ond vilje.
– Det er viktig å få med seg at dette ikke er en ondsinnet bakdør implementert for å gi uautorisert brukertilgang. Som vi har sagt tidligere er dette en utilsiktet konsekvens av en funksjon, som ble laget for å tilby sømløs tilgang fra en autorisert Fortimanager til registrerte Fortigate-enheter.
Selskapet anbefaler kundene om å straks oppdatere relevant utstyr. Varselet ramser opp følgende enheter og versjoner som berørt:
- Fortianalyser versjoner 5.0.5 til 5.0.11 og 5.2.0 til 5.2.4 (4.3-serien er ikke berørt)
- Fortiswitch versjoner fra 3.0.0 til 3.3.2
- Forticache versjoner 3.0.0 til 3.0.7 (3.1-serien er ikke berørt)
- FortiOS versjoner fra 4.1.0 til 4.1.10
- FortiOS versjoner fra 4.2.0 til 4.2.15
- FortiOS versjoner fra 5.0.0 til 5.0.7
Kina-skanning
Sikkerhetseksperter fra SANS Intitute har dokumentert en økning i antall skanneforsøk, der noen forsøker å identifisere og eventuelt kompromittere sårbare Fortinet-bokser.
Det er nok en enkel jobb ettersom både brukernavn og passord for den udokumenterte SSH-kontoen nå er viden kjent.
Mesteparten av skanningen ble utført fra to kinesiske IP-adresser, opplyser SANS Institute.
- Så hvis du ikke allerede har installert sikkerhetsoppdateringene og beskyttet enhetene bak en brannmur, så er sjansen stor for at du allerede er blitt skannet og muligens kompromittert.
