c.m.g
14-01-2016, 10:49
giovedì 14 gennaio 2016
Ricercatori identificano una nuova funzionalità nascosta all'interno di una ben nota marca di appliance telematiche, anche se il produttore si rifiuta di classificare il problema come "backdoor" e rassicura: falla chiusa da tempo
Roma - Dopo il clamore suscitato dal caso Juniper (http://punto-informatico.it/4294132/PI/News/screenos-juniper-rimuove-backdoor-nsa.aspx), una nuova, presunta "backdoor" è stata individuata dai ricercatori nei firewall di rete sviluppati da Fortinet e basati su FortiOS. Il sistema contiene una password codificata al suo interno sempre valida, denunciano i ricercatori con tanto di exploit (http://seclists.org/fulldisclosure/2016/Jan/26), e tale password può essere utilizzata per accedere da remoto ai firewall vulnerabili.
Avendo a che fare con la giusta versione di FortiOS, la stringa contenuta all'interno del sistema ("FGTAbc11*xy+Qqz27") può servire ad aprire una sessione di accesso remoto (SSH). Su Twitter un ricercatore ha anche postato uno screenshot auto-esplicativo per dimostrare l'efficacia dell'exploit e della password integrata.
Heavily redacted (at sources request) screenshot of the #Fortinet (https://twitter.com/hashtag/Fortinet?src=hash) #Fortigate (https://twitter.com/hashtag/Fortigate?src=hash) #backdoor (https://twitter.com/hashtag/backdoor?src=hash) functioning. pic.twitter.com/hT5bWNe8eW (https://t.co/hT5bWNe8eW)
- Dr David D. Davidson (@dailydavedavids) 12 Gennaio 2016 (https://twitter.com/dailydavedavids/status/686898837382950912)
Per i ricercatori si tratta dell'ennesima backdoor segreta scovata negli apparati di rete più popolari, ma Fortinet ha ufficialmente negato questa versione con una breve dichiarazione ufficiale (http://blog.fortinet.com/post/brief-statement-regarding-issues-found-with-fortios): il problema che ora viene alla ribalta era stato individuato e corretto già nel luglio 2014, e nessun soggetto "esterno" all'azienda - diversamente dal caso Juniper - può essere considerato responsabile dell'accaduto.Il codice dell'exploit funziona sulle versioni di FortiOS comprese tra la 4.3 e la 5.0.7, mentre la release 5.2.3 (o anche la più recente 5.4.0) risulterebbe immune pur continuando a includere la password codificata. Nella migliore delle ipotesi (http://arstechnica.com/security/2016/01/et-tu-fortinet-hard-coded-password-raises-new-backdoor-eavesdropping-fears/), dicono gli esperti, i firewall Fortinet sarebbero stati vulnerabili in una lunga finestra temporale compresa fra il 2013 e il 2014.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4294799/PI/News/fortinet-sospetto-backdoor.aspx)
Ricercatori identificano una nuova funzionalità nascosta all'interno di una ben nota marca di appliance telematiche, anche se il produttore si rifiuta di classificare il problema come "backdoor" e rassicura: falla chiusa da tempo
Roma - Dopo il clamore suscitato dal caso Juniper (http://punto-informatico.it/4294132/PI/News/screenos-juniper-rimuove-backdoor-nsa.aspx), una nuova, presunta "backdoor" è stata individuata dai ricercatori nei firewall di rete sviluppati da Fortinet e basati su FortiOS. Il sistema contiene una password codificata al suo interno sempre valida, denunciano i ricercatori con tanto di exploit (http://seclists.org/fulldisclosure/2016/Jan/26), e tale password può essere utilizzata per accedere da remoto ai firewall vulnerabili.
Avendo a che fare con la giusta versione di FortiOS, la stringa contenuta all'interno del sistema ("FGTAbc11*xy+Qqz27") può servire ad aprire una sessione di accesso remoto (SSH). Su Twitter un ricercatore ha anche postato uno screenshot auto-esplicativo per dimostrare l'efficacia dell'exploit e della password integrata.
Heavily redacted (at sources request) screenshot of the #Fortinet (https://twitter.com/hashtag/Fortinet?src=hash) #Fortigate (https://twitter.com/hashtag/Fortigate?src=hash) #backdoor (https://twitter.com/hashtag/backdoor?src=hash) functioning. pic.twitter.com/hT5bWNe8eW (https://t.co/hT5bWNe8eW)
- Dr David D. Davidson (@dailydavedavids) 12 Gennaio 2016 (https://twitter.com/dailydavedavids/status/686898837382950912)
Per i ricercatori si tratta dell'ennesima backdoor segreta scovata negli apparati di rete più popolari, ma Fortinet ha ufficialmente negato questa versione con una breve dichiarazione ufficiale (http://blog.fortinet.com/post/brief-statement-regarding-issues-found-with-fortios): il problema che ora viene alla ribalta era stato individuato e corretto già nel luglio 2014, e nessun soggetto "esterno" all'azienda - diversamente dal caso Juniper - può essere considerato responsabile dell'accaduto.Il codice dell'exploit funziona sulle versioni di FortiOS comprese tra la 4.3 e la 5.0.7, mentre la release 5.2.3 (o anche la più recente 5.4.0) risulterebbe immune pur continuando a includere la password codificata. Nella migliore delle ipotesi (http://arstechnica.com/security/2016/01/et-tu-fortinet-hard-coded-password-raises-new-backdoor-eavesdropping-fears/), dicono gli esperti, i firewall Fortinet sarebbero stati vulnerabili in una lunga finestra temporale compresa fra il 2013 e il 2014.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4294799/PI/News/fortinet-sospetto-backdoor.aspx)