Tylne drzwi w urządzeniach Fortinetu

Firma Fortinet poinformowała o wykryciu i usunięciu tylnych drzwi, które umożliwiały potencjalnym napastnikom zdalny dostęp z uprawnieniami administracyjnymi. Istnieje obejście problemu, wprowadzono również odpowiednie poprawki.

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!
5 strategii nowoczesnej ochrony danych

5 strategii nowoczesnej ochrony danych

Nie jest tajemnicą, że tradycyjne metody backupu i odtwarzania danych nie nadążają za niespotykanym wzrostem ich ilości, szybko postępującą konsolidacją centrów przetwarzania oraz wirtualizacją serwerów. Poniżej przedstawiono pięć strategii nowoczesnej ochrony danych, które nie...

Przywrócenie kontroli działu IT nad danymi i rozszerzenie współpracy za pomocją narzędzi Commvault do bezpiecznego udostępniania plików.

Przywrócenie kontroli działu IT nad danymi i rozszerzenie współpracy za pomocją narzędzi Commvault do bezpiecznego udostępniania plików.

66% pracowników udostępnia dokumenty lub pliki innym ludziom 71% stosuje reguły dotyczące korzystania z danych i posługiwania się nimi 58% odpowiedzialnych za bezpieczeństwo IT ma obawy w tym zakresie Dyrektorzy i szefowie przedsiębiorstw chcą, aby pracownicy byli w stanie łatwo...

Zautomatyzowane rozpoznawanie i szybkie eliminowanie słabych punktów

Zautomatyzowane rozpoznawanie i szybkie eliminowanie słabych punktów

Spektakularne ataki cybernetycznie nie są już dziełem geniuszu utalentowanych hackerów. Jeśli na komputerach w przedsiębiorstwie znajdują się słabe punkty, można dokonać ataku za pomocą narzędzi dostępnych w internecie. Ta biała księga opisuje scenariusze ataków i pokazuje, jak...

W ubiegłym tygodniu Fortinet poinformował o istnieniu tylnych drzwi w zdalnym dostępie przez SSH do swoich urządzeń. Jak informuje Fortinet, przyczyną problemu nie był celowo zainstalowany backdoor, ale funkcjonalność zdalnej administracji urządzeniem z centralizowanej konsoli FortiManager za pomocą nieudokumentowanego konta z zapisanym na stałe hasłem. W systemie FortiOS podatność została wykryta ponad rok temu w wyniku wewnętrznego audytu, który wskazał na istotne ryzyko związane z podobną techniką uwierzytelnienia przy zdalnym dostępie. W lipcu 2014r. omawiana luka została usunięta razem z aktualizacją wersji FortiOS 4.3.17 oraz FortiOS 5.0.8. Nowsze gałęzie systemu FortiOS (5.2 oraz 5.4) nigdy tej podatności nie zawierały i nie wymagają poprawek.

Firma Fortinet informuje na blogu, że wszystkie podatności związane z zapisanym na stałe kontem zdalnego dostępu przez SSH były związane z uruchomieniem funkcjonalności zarządzania z konsoli FortiManager do zarejestrowanych urządzeń FortiGate. Podkreśla również, że w tym przypadku nie mieliśmy do czynienia ze złośliwym backdoorem, który miał za zadanie wprowadzenie nieautoryzowanego dostępu. Fortinet w ten sposób próbuje wyróżnić problem w swoich urządzeniach od dość głośnej sprawy tylnych drzwi w urządzeniach Junipera. Specjaliści informują, że sprawę backdoora w urządzeniach Junipera bada obecnie FBI.

Zobacz również:

Inne urządzenia też były podatne

Po wydaniu oświadczenia związanego z istnieniem podatności w starych wydaniach systemu oraz udostępnieniu poprawek, Fortinet rozpoczął poszukiwania tej samej luki w innych produktach. Wyniki audytów udowodniły, że podobny mechanizm uwierzytelnienia (i związana z nim luka bezpieczeństwa) istniały w innych produktach, są nimi FortiSwitch, FortiAnalyzer oraz FortiCache. Informacja podana na firmowym blogu wskazuje na to, że we wszystkich trzech przypadkach zastosowano stary mechanizm uwierzytelnienia konsoli FortiManager do urządzeń z użyciem zapisanego na stałe tajnego użytkownika z niepublikowanym hasłem. Podatność ta już została usunięta, ale niezbędna będzie aktualizacja oprogramowania FortiAnalyzer do wersji 5.0.12 (jeśli klient korzysta ze starszej gałęzi 5.0) lub 5.2.5 (dla nowszej gałęzi firmware'u). Starsza gałąź 4.3 tej podatności nie zawierała. Urządzenia FortiSwitch należy zaktualizować do wersji 3.3.3, użytkownicy FortiCache powinni zainstalować wersję 3.0.8, wydanie 3.1 tej podatności nie zawiera.

Obejście problemu

Ponieważ podatność dotyczy połączeń za pomocą protokołu SSH, tymczasowym obejściem problemu jest korzystanie wyłącznie z konsoli webowych i zablokowanie dostępu przez SSH. Fortinet zaleca zatem niezwłoczne wyłączenie SSH do czasu aktualizacji oprogramowania we wszystkich podatnych urządzeniach.

Prenumerata Computerworld Zamów teraz bezpłatnie »
Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.