Gyárilag bedrótozott SSH-bejárat volt a Fortinet tűzfalaiban

Alig ért véget a Juniper-botrány, újabb élvonalbeli vállalati hálózatbiztonsági eszközöket gyártó cégnél merült fel a gyárilag beépített hátsó kapu gyanúja. Az ügy tegnap pattant ki, amikor egy ismeretlen szerző a Full Disclosure biztonsági levelezési listán közzé tett egy Python-példakódot. Ezt használva a FortiNet bizonyos verziójú operációs rendszereit futtató FortiGate tűzfalakhoz SSH-n keresztül adminisztrátori jogkörű hozzáférést lehet szerezni, úgy, hogy ez még a naplófájlba sem kerül bejegyzésre.

Figyelmetlenségből, nem szándékosan

A Fortinet blogbejegyzésben reagálva azt írta, ez nem egy hátsó ajtó volt – bár tény, hogy a hozzáférési lehetőség sehol (legalábbis nyilvánosan elérhetően) nem volt dokumentálva. A cég szerint menedzsment-hitelesítési problémáról volt szó, azaz valószínűleg egy olyan funkcióban maradt hiba, amit a Fortinet mérnökei az új eszközök bekonfigurálásakor, vagy rendkívüli hibaelhárításkor használhattak.

A sérülékenység azért lépett fel, mert a fejlesztők az egyedi hitelesítési folyamat jelszavának generálásához használt stringet a kódban beágyazva felejtették, az authentikációs módszert pedig az ominózus karaktersorral (FGTAbc11*xy+Qqz27) együtt valaki visszafejtette. A bizonyításra szolgáló példakódot, amely a karaktersor mellett a szintén szükséges felhasználónevet (Fortimanager_Access) is tartalmazza, a nyilvánosságra kerülése óta több biztonsági szakértő is tesztelte és megerősítette, hogy a sérülékenység az érintett operációs rendszereken valós.

Weird behavior, the #fortigate backdoor gives a variable that is then used to create a base64 string for auth? pic.twitter.com/8efhdCGSpD

- Rik van Duijn RCX (@rikvduijn) January 12, 2016

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

A Fortinet közlése szerint a FortiOS 4.3.0 és 4.3.16 közötti, valamint az 5.0.0 és 5.0.7 közötti verziói voltak érintettek, de a javításokat már 2014 júliusában kiadták, így csak azon eszközökben maradhatott meg a hiba, melyek sem automatikusan, sem manuálisan nem kaptak frissítést. A cég az ilyen esetekre két ideiglenes megoldást is javasol: az SSH hozzáférés letiltását, vagy a jogosultak körének korlátozását.

A hiba alapján hihetőnek tűnik, hogy FortiNet fejlesztői a hivatalos magyarázatnak megfelelően tényleg csak a kódban felejtették az authentikáció egyik elemét, és nem valamilyen állami hatóság számára építettek be hátsó ajtót. Hiszen a karaktersort semmi értelme a kódban tárolni, ahonnan egy érdeklődő szakember előbb-utóbb visszafejtheti.