W ubiegłym tygodniu Fortinet poinformował o istnieniu tylnych drzwi w zdalnym dostępie przez SSH do swoich urządzeń. Jak informuje Fortinet, przyczyną problemu nie był celowo zainstalowany backdoor, ale funkcjonalność zdalnej administracji urządzeniem z centralizowanej konsoli FortiManager za pomocą nieudokumentowanego konta z zapisanym na stałe hasłem. W systemie FortiOS podatność została wykryta ponad rok temu w wyniku wewnętrznego audytu, który wskazał na istotne ryzyko związane z podobną techniką uwierzytelnienia przy zdalnym dostępie. W lipcu 2014r. omawiana luka została usunięta razem z aktualizacją wersji FortiOS 4.3.17 oraz FortiOS 5.0.8. Nowsze gałęzie systemu FortiOS (5.2 oraz 5.4) nigdy tej podatności nie zawierały i nie wymagają poprawek.

Firma Fortinet informuje na blogu, że wszystkie podatności związane z zapisanym na stałe kontem zdalnego dostępu przez SSH były związane z uruchomieniem funkcjonalności zarządzania z konsoli FortiManager do zarejestrowanych urządzeń FortiGate. Podkreśla również, że w tym przypadku nie mieliśmy do czynienia ze złośliwym backdoorem, który miał za zadanie wprowadzenie nieautoryzowanego dostępu. Fortinet w ten sposób próbuje wyróżnić problem w swoich urządzeniach od dość głośnej sprawy tylnych drzwi w urządzeniach Junipera. Specjaliści informują, że sprawę backdoora w urządzeniach Junipera bada obecnie FBI.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Dobre wyniki finansowe Fortinet
• Luka w zabezpieczeniach WordPress

Inne urządzenia też były podatne

Po wydaniu oświadczenia związanego z istnieniem podatności w starych wydaniach systemu oraz udostępnieniu poprawek, Fortinet rozpoczął poszukiwania tej samej luki w innych produktach. Wyniki audytów udowodniły, że podobny mechanizm uwierzytelnienia (i związana z nim luka bezpieczeństwa) istniały w innych produktach, są nimi FortiSwitch, FortiAnalyzer oraz FortiCache. Informacja podana na firmowym blogu wskazuje na to, że we wszystkich trzech przypadkach zastosowano stary mechanizm uwierzytelnienia konsoli FortiManager do urządzeń z użyciem zapisanego na stałe tajnego użytkownika z niepublikowanym hasłem. Podatność ta już została usunięta, ale niezbędna będzie aktualizacja oprogramowania FortiAnalyzer do wersji 5.0.12 (jeśli klient korzysta ze starszej gałęzi 5.0) lub 5.2.5 (dla nowszej gałęzi firmware'u). Starsza gałąź 4.3 tej podatności nie zawierała. Urządzenia FortiSwitch należy zaktualizować do wersji 3.3.3, użytkownicy FortiCache powinni zainstalować wersję 3.0.8, wydanie 3.1 tej podatności nie zawiera.

Obejście problemu

Ponieważ podatność dotyczy połączeń za pomocą protokołu SSH, tymczasowym obejściem problemu jest korzystanie wyłącznie z konsoli webowych i zablokowanie dostępu przez SSH. Fortinet zaleca zatem niezwłoczne wyłączenie SSH do czasu aktualizacji oprogramowania we wszystkich podatnych urządzeniach.