Fortinetآیا میلیون‌ها کاربر تجاری که به فایروال‌های next-generation شرکت Fortinet برای حفاظت شبکه‌ی خود اعتماد کرده‌اند واقعاً در مقابل هکرها محافظت می‌شوند؟ احتمالاً نه.

یک ماه پس از کشف backdoor غیرمجاز در فایروال‌های Juniper یک پژوهشگر امنیتی ناشناس یک کد بسیار مشکوک را در سیستم‌عامل FortiOS فایروال‌های شرکت Fortinet کشف کرد.

مطابق اطلاعات نشت شده، این سیستم‌عامل که در فایروال‌های شبکه‌ای FortiGate استفاده‌شده دارای یک SSH backdoor است که می‌تواند برای دسترسی به تجهیزات فایروال از آن استفاده شود.

هرکس می‌تواند به SSH backdoor مربوط به FortiOS دسترسی پیدا کند

هر کس با نام کاربری “Fortimanager_Access” و یک نسخه hash از رشته‌ی کلمه‌ی عبور “FGTAbc11*xy+Qqz27” که در کد فایروال ثبت‌شده، می‌تواند به فایروال Fortigate وارد شود.

اما طبق جزئیات محصول شرکت، این کاربر SSH برای روال challenge-response تصدیق هویت برای ورود به سرورهای Fortinet با پروتکل SSH ساخته‌شده است.

این مشکل، همه‌ی FortiOS های نسخه‌های۴٫۳٫۰ تا ۴٫۳٫۱۶ و۵٫۰٫۰ تا ۵٫۰٫۷ را تحت تأثیر قرار داده که نسخه‌های FortiOS ساخته‌شده بین نوامبر ۲۰۱۲ تا جولای ۲۰۱۴ را شامل می‌شود.

کد exploit اثبات حمله وجود دارد

این مشکل اخیراً توسط یک کاربر بی‌نام که کد اکسپلویت را هفته‌ی گذشته در لیست ایمیل Full Disclosure ارسال کرده بود، گزارش‌شده است.

مدیران سیستم می‌توانند از این کد اکسپلویت برای خودکار کردن فرایند آزمون فایروال خود استفاده کنند. تصویر زیر نشان‌دهنده گرفتن یک دسترسی از راه دور به سروری که FortiOS دارد با استفاده از این کد اکسپلویت است.

ssh-backdoor-in-fortinet-firewalls

مهم‌ترین مسئله که باید موردتوجه بگیرد این است که هرکس از این حساب backdoor استفاده کند چیزی در لاگ های دسترسی به ابزار ثبت نمی‌شود.

اگرچه بعید است که ادمین های سیستم پورت SSH خود را به‌صورت آنلاین باز بگذارند. اما ممکن است این حساب backdoor توسط مهاجمان با آلوده کردن یک کامپیوتر سازمانی و دسترسی به شبکه محلی یا Virtual LAN اکسپلویت شود.

پاسخ Fortinet به این مشکل

Fortinet در جای تلاش کرده تا توضیح دهد که چرا تولیداتش دارای SSH هارد کد شده هستند. طبق اعلام شرکت، تیم امنیتی این شرکت این نقص امنیتی بحرانی (CVE-2014-2216) را در نسخه‌ی ۵٫۲٫۳ در تاریخ جولای ۲۰۱۴ بدون انتشار توصیه‌نامه، اصلاح‌کرده‌اند.

اما چند ساعت بعد Fortinet درنهایت یک توصیه‌نامه‌ی امنیتی و یک پست وبلاگ رسمی درباره‌ی این اتفاق منتشر کرد.

“این‌یک مشکل آسیب‌پذیری backdoor نبوده است بلکه یک مشکل تصدیق هویت مدیریتی بوده . این مشکل توسط تیم امنیت تولیدات ما طی فعالیت‌های تست و بازبینی معمول شناسایی‌شده.”

منبع

http://thehackernews.com