:

Szerző: Voith Hunor

2016. január 14. 09:30

Gyárilag bedrótozott SSH-bejárat volt a Fortinet tűzfalaiban

A vállalat szerint ez nem szándékos hátsó ajtó, hanem menedzsment-hitelesítési probléma volt.

Alig ért véget a Juniper-botrány, újabb élvonalbeli vállalati hálózatbiztonsági eszközöket gyártó cégnél merült fel a gyárilag beépített hátsó kapu gyanúja. Az ügy tegnap pattant ki, amikor egy ismeretlen szerző a Full Disclosure biztonsági levelezési listán közzé tett egy Python-példakódot. Ezt használva a FortiNet bizonyos verziójú operációs rendszereit futtató FortiGate tűzfalakhoz SSH-n keresztül adminisztrátori jogkörű hozzáférést lehet szerezni, úgy, hogy ez még a naplófájlba sem kerül bejegyzésre.

Figyelmetlenségből, nem szándékosan

A Fortinet blogbejegyzésben reagálva azt írta, ez nem egy hátsó ajtó volt – bár tény, hogy a hozzáférési lehetőség sehol (legalábbis nyilvánosan elérhetően) nem volt dokumentálva. A cég szerint menedzsment-hitelesítési problémáról volt szó, azaz valószínűleg egy olyan funkcióban maradt hiba, amit a Fortinet mérnökei az új eszközök bekonfigurálásakor, vagy rendkívüli hibaelhárításkor használhattak.

A sérülékenység azért lépett fel, mert a fejlesztők az egyedi hitelesítési folyamat jelszavának generálásához használt stringet a kódban beágyazva felejtették, az authentikációs módszert pedig az ominózus karaktersorral (FGTAbc11*xy+Qqz27) együtt valaki visszafejtette. A bizonyításra szolgáló példakódot, amely a karaktersor mellett a szintén szükséges felhasználónevet (Fortimanager_Access) is tartalmazza, a nyilvánosságra kerülése óta több biztonsági szakértő is tesztelte és megerősítette, hogy a sérülékenység az érintett operációs rendszereken valós.

 

 

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A Fortinet közlése szerint a FortiOS 4.3.0 és 4.3.16 közötti, valamint az 5.0.0 és 5.0.7 közötti verziói voltak érintettek, de a javításokat már 2014 júliusában kiadták, így csak azon eszközökben maradhatott meg a hiba, melyek sem automatikusan, sem manuálisan nem kaptak frissítést. A cég az ilyen esetekre két ideiglenes megoldást is javasol: az SSH hozzáférés letiltását, vagy a jogosultak körének korlátozását.

A hiba alapján hihetőnek tűnik, hogy FortiNet fejlesztői a hivatalos magyarázatnak megfelelően tényleg csak a kódban felejtették az authentikáció egyik elemét, és nem valamilyen állami hatóság számára építettek be hátsó ajtót. Hiszen a karaktersort semmi értelme a kódban tárolni, ahonnan egy érdeklődő szakember előbb-utóbb visszafejtheti.

Eleged van az eltérő környezetekből és az inkonzisztens build eredményekből? Frusztrál, hogy órákat kell töltened új fejlesztői környezetek beállításával? Többek között erről is szó lesz az AWS hazai online meetup-sorozatának ötödik, december 12-i állomásán.

a címlapról