Giovedì 14 Gennaio 2016
Firewall e backdoor, nuovi dubbi di sicurezza

A meno di un mese del clamore suscitato dalla scoperta di una backdoor non autorizzata nelle reti firewall Juniper, un ricercatore di sicurezza ha scoperto un codice sospetto nei firewall sviluppati da Fortinet e basati su FortiOS.

Secondo le informazioni trapelate, il sistema operativo Fortinet Fortigate conterrebbe una backdoor SSH che potrebbe essere usata per accedere a livello amministrativo.

Chiunque in possesso dello username 'Fortimanager_Access' e una versione hash della stringa della password 'FGTAbc11*xy+Qqz27' codificata nel firewall, può accedere da remoto alle apparecchiature di rete dei firewall vulnerabili.

Secondo i dettagli del prodotto della società tuttavia tale SSH user è creato di routine per l’autenticazione challenge-and-reponse per l’accesso ai server di Fortinet con il protocollo Secure Shell (SSH).

Questo problema sembra interessare tutte le versioni di FortiOS dalla 4.3.0 alla 4.3.16 e dalla 5.0.0 alla 5.0.7, prodotte tra novembre 2012 e luglio 2014.

Il codice Proof-of-Concept Exploit è disponibile Online

Il problema è stato recentemente riportato da un utente anonimo (operator8203@runbox.com), che ha pubblicato il codice exploit sulla mailing list Full Disclosure questa settimana, aiutando gli aspiranti hacker a generare la password dinamica della backdoor.

Questo codice exploit può essere utilizzato dagli amministratori di sistema per automatizzare il processo di testing, nel tentativo di scoprire se hanno qualche apparecchiatura della rete FortiGuard vulnerabile presente nelle vicinanze.

Un utente twitter ha condiviso uno screenshot che mostra come qualcuno sia riuscito ad  ottenere l’accesso remoto ad un server in cui era in esecuzione FortiOS utilizzando il codice exploit.

Identificato un codice sospetto all'interno di firewall di una nota marca

L'aspetto più importante è che chiunque utilizzi questa backdoor non appare nei log di accesso del dispositivo, come se la backdoor fosse legata alla piattaforma di manutenzione Fortimanager.

La considerazione più importante è che i log di accesso al dispositivo non mostreranno gli account che accedono tramite la backdoor in quanto sono assimilabili a quelli usati dalla piattaforma di supporto FortiManager.
Bisogna inoltre dire che le possibilità che gli amministratori espongano l'accesso SSH in Internet sono basse, ma la backdoor può essere comunque sfruttata dagli attaccanti che hanno accesso alla rete locale tramite altri mezzi.

La Risposta di Fortinet

Mentre per i ricercatori si tratta dell'ennesima backdoor segreta, Fortinet ha ufficialmente negato rilasciando una dichiarazione in cui si spiega che non si tratta di vulnerabilità ma di un problema di gestione dell’autenticazione.
Il team di sicurezza aveva già risolto questo bug (CVE-2.014-2.216) a luglio 2014, mettendo a disposizione una patch.

Vedi anche: