WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
[Update] Thêm nhiều thiết bị an ninh của Fortinet có chứa backdoor FortiGuard SSH
Cập nhật ngày 23/01/2016: Sau khi đưa ra thông tin phản hồi về backdoor trên dòng tường lửa FortiGate của mình vào cuối tuần trước, Fortinet đã tiến hành điều tra xem vấn đề tương tự có tồn tại trong các sản phẩm khác không và thấy rằng một số phiên bản của FortiSwitch, FortiAnalyzer và FortiCache cũng bị ảnh hưởng.
Khách hàng được khuyến cáo nâng cấp lên FortiAnalyzer phiên bản 5.0.12 hoặc 5.2.5 mới được phát hành, tùy thuộc vào nhánh phần mềm họ đang sử dụng. Nhánh 4.3 không bị ảnh hưởng.
Người sử dụng FortiSwitch nên nâng cấp lên phiên bản 3.3.3 và người sử dụng FortiCache lên phiên bản 3.0.8 hoặc lên nhánh 3.1, vốn không bị ảnh hưởng.
Công ty cũng đã cung cấp hướng dẫn khắc phục cho các thiết bị bị ảnh hưởng mà không thể nâng cấp ngay lập tức, chủ yếu là vô hiệu hóa truy cập SSH đến thiết bị và sử dụng giao diện quản lý trên Web.
Fortinet nhấn mạnh lỗ hổng này là kết quả không chủ ý của một tính năng được thiết kế để cung cấp truy cập liền mạch từ một FortiManager ủy quyền đến các thiết bị FortiGate đăng ký. Đây không phải là trường hợp backdoor độc hại được thực thi để cấp quyền truy cập trái phép.
Nguồn: ComputerWorld
-------------------------------------------------------------------
Liệu hàng triệu doanh nghiệp tin tưởng sử dụng các firewall thế hệ mới có thực sự được bảo vệ trước tin tặc?
Có thể là không!
Chỉ chưa đầy một tháng sau khi một backdoor trái phép được tìm thấy trong tường lửa của hãng Juniper, một nhà nghiên cứu an ninh ẩn danh đã phát hiện ra những đoạn mã rất khả nghi trên các tường lửa FortiOS của Fortinet.
Theo những thông tin bị rò rỉ, hệ điều hành FortiOS, được triển khai trên dòng tường lửa FortiGate của Fortinet, có chứa một backdoor SSH có thể được dùng để truy cập thiết bị.
Bất kì ai cũng có thể truy cập FortiOS qua backdoor SSH
Bất kỳ ai sử dụng username "Fortimanager_Access" và một chuỗi băm của "FGTAbc11*xy+Qqz27" đã được cài đặt cứng vào tường lửa, có thể đăng nhập vào các tường lửa FortiGate của Fortinet.
Tuy nhiên, theo thông tin chi tiết về sản phẩm từ công ty, tài khoản SSH này được tạo nhằm phục vụ cho hình thức xác thực challenge and response (thách thức và phản ứng) để đăng nhập vào máy chủ của Fortinet với giao thức Secure Shell (SSH).
Sự cố này ảnh hưởng đến tất cả các phiên bản FortiOS từ 4.3.0 đến 4.3.16 và 5.0.0 đến 5.0.7, trong đó bao gồm các bản FortiOS được tạo từ giữa tháng 11/2012 và 7/2014.
Mã khai thác PoC đã xuất hiện trên Internet
Đầu tuần, người dùng [email protected] đã đăng bài viết mô tả cùng với mã khai thác lên Full Disclosure. Điều đó có nghĩa là tin tặc hoàn toàn có thể tận dụng mã khai thác đó vào các mục đích xấu.
Các quản trị hệ thống có thể dùng mã khai thác này để tự động hóa quá trình kiểm thử lỗ hổng trên hệ thống của họ.
Một người dùng Twitter đã chia sẻ ảnh chụp màn hình với nội dung một ai đó đã truy cập từ xa đến một máy chủ chạy FortiOS bằng cách dùng mã khai thác.
Điều quan trọng ở đây là bất kì ai sử dụng tài khoản backdoor trên sẽ không bị lưu lại trong nhật kí truy cập của thiết bị, bởi vì backdoor có thể có liên quan đến nền tảng FortiManager.
Mặc dù khả năng các quản trị mạng chuyên nghiệp để cổng SSH của họ sơ hở là thấp, tài khoản backdoor này vẫn có thể bị khai thác nếu những kẻ tấn công truy cập được vào mạng cục bộ hoặc mạng LAN ảo bằng cách lây nhiễm mã độc vào máy tính của doanh nghiệp đó.
Phản hồi của Fortinet
Fortinet đã cố gắng giải thích tại sao các sản phẩm được xuất xưởng kèm “khuyến mãi” là tài khoản SSH được khóa cứng vào sản phẩm. Theo công ty, lỗi này (CVE-2014-2216) đã được sửa trong phiên bản 5.2.3 vào 7/2014, và hãng có tung ra cảnh báo vào thời điểm đó.
Tuy nhiên, vài giờ trước Fortinet đã phát hành một bản khuyến cáo an ninh mới cùng một bài đăng trên blog chính thức về vụ việc với nội dung:
“Đây không phải là một lỗ hổng “backdoor” mà là vấn đề liên quan đến quản lý xác thực. Đội ngũ An ninh Sản phẩm của chúng tôi luôn coi đây là một phần của hoạt động đánh giá và kiểm thử vốn vẫn được tổ chức một cách đều đặn.”
Nguồn: The Hacker News
Khách hàng được khuyến cáo nâng cấp lên FortiAnalyzer phiên bản 5.0.12 hoặc 5.2.5 mới được phát hành, tùy thuộc vào nhánh phần mềm họ đang sử dụng. Nhánh 4.3 không bị ảnh hưởng.
Người sử dụng FortiSwitch nên nâng cấp lên phiên bản 3.3.3 và người sử dụng FortiCache lên phiên bản 3.0.8 hoặc lên nhánh 3.1, vốn không bị ảnh hưởng.
Công ty cũng đã cung cấp hướng dẫn khắc phục cho các thiết bị bị ảnh hưởng mà không thể nâng cấp ngay lập tức, chủ yếu là vô hiệu hóa truy cập SSH đến thiết bị và sử dụng giao diện quản lý trên Web.
Fortinet nhấn mạnh lỗ hổng này là kết quả không chủ ý của một tính năng được thiết kế để cung cấp truy cập liền mạch từ một FortiManager ủy quyền đến các thiết bị FortiGate đăng ký. Đây không phải là trường hợp backdoor độc hại được thực thi để cấp quyền truy cập trái phép.
Nguồn: ComputerWorld
-------------------------------------------------------------------
Liệu hàng triệu doanh nghiệp tin tưởng sử dụng các firewall thế hệ mới có thực sự được bảo vệ trước tin tặc?
Có thể là không!
Chỉ chưa đầy một tháng sau khi một backdoor trái phép được tìm thấy trong tường lửa của hãng Juniper, một nhà nghiên cứu an ninh ẩn danh đã phát hiện ra những đoạn mã rất khả nghi trên các tường lửa FortiOS của Fortinet.
Theo những thông tin bị rò rỉ, hệ điều hành FortiOS, được triển khai trên dòng tường lửa FortiGate của Fortinet, có chứa một backdoor SSH có thể được dùng để truy cập thiết bị.
Bất kì ai cũng có thể truy cập FortiOS qua backdoor SSH
Bất kỳ ai sử dụng username "Fortimanager_Access" và một chuỗi băm của "FGTAbc11*xy+Qqz27" đã được cài đặt cứng vào tường lửa, có thể đăng nhập vào các tường lửa FortiGate của Fortinet.
Tuy nhiên, theo thông tin chi tiết về sản phẩm từ công ty, tài khoản SSH này được tạo nhằm phục vụ cho hình thức xác thực challenge and response (thách thức và phản ứng) để đăng nhập vào máy chủ của Fortinet với giao thức Secure Shell (SSH).
Sự cố này ảnh hưởng đến tất cả các phiên bản FortiOS từ 4.3.0 đến 4.3.16 và 5.0.0 đến 5.0.7, trong đó bao gồm các bản FortiOS được tạo từ giữa tháng 11/2012 và 7/2014.
Mã khai thác PoC đã xuất hiện trên Internet
Đầu tuần, người dùng [email protected] đã đăng bài viết mô tả cùng với mã khai thác lên Full Disclosure. Điều đó có nghĩa là tin tặc hoàn toàn có thể tận dụng mã khai thác đó vào các mục đích xấu.
Các quản trị hệ thống có thể dùng mã khai thác này để tự động hóa quá trình kiểm thử lỗ hổng trên hệ thống của họ.
Một người dùng Twitter đã chia sẻ ảnh chụp màn hình với nội dung một ai đó đã truy cập từ xa đến một máy chủ chạy FortiOS bằng cách dùng mã khai thác.
Điều quan trọng ở đây là bất kì ai sử dụng tài khoản backdoor trên sẽ không bị lưu lại trong nhật kí truy cập của thiết bị, bởi vì backdoor có thể có liên quan đến nền tảng FortiManager.
Mặc dù khả năng các quản trị mạng chuyên nghiệp để cổng SSH của họ sơ hở là thấp, tài khoản backdoor này vẫn có thể bị khai thác nếu những kẻ tấn công truy cập được vào mạng cục bộ hoặc mạng LAN ảo bằng cách lây nhiễm mã độc vào máy tính của doanh nghiệp đó.
Phản hồi của Fortinet
Fortinet đã cố gắng giải thích tại sao các sản phẩm được xuất xưởng kèm “khuyến mãi” là tài khoản SSH được khóa cứng vào sản phẩm. Theo công ty, lỗi này (CVE-2014-2216) đã được sửa trong phiên bản 5.2.3 vào 7/2014, và hãng có tung ra cảnh báo vào thời điểm đó.
Tuy nhiên, vài giờ trước Fortinet đã phát hành một bản khuyến cáo an ninh mới cùng một bài đăng trên blog chính thức về vụ việc với nội dung:
“Đây không phải là một lỗ hổng “backdoor” mà là vấn đề liên quan đến quản lý xác thực. Đội ngũ An ninh Sản phẩm của chúng tôi luôn coi đây là một phần của hoạt động đánh giá và kiểm thử vốn vẫn được tổ chức một cách đều đặn.”
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: