Μετά την Juniper, ύποπτος κώδικας εντοπίζεται και στα firewalls της Fortinet

[nnn]

Λίγο καιρό μετά την αποκάλυψη πως προϊόντα της Juniper είχαν ανασφαλή κώδικα στο λειτουργικό τους (Η Juniper εντόπισε backdoor εγκατεστημένο από το 2012 στην σειρά NetScreen firewall), αποκαλύπτεται πως και firewalls της Fortinet περιέχουν ύποπτο κώδικο στο FortiOS.

Συγκεκριμένα εντοπίστηκε ένα hardcoded password -FGTAbc11*xy+Qqz27- το οποίο μπορεί να χρησιμοποιηθεί σε επιθέσεις εναντίον servers που τρέχουν FortiOS. Ο Ralf-Philipp Weinmann, που εντόπισε το θέμα και στις συσκευές της Jumiper, το επιβεβαίωσε και του έδωσε το όνομα FortiOS SSH Undocumented Interactive Login Vulnerability.

Σύμφωνα με την Fortinet και το security advisory της 12ης Ιανουαρίου, οι επηρεαζόμενες εκδόσεις του FortiOS είναι οι 4.3.0 to 4.3.16 και 5.0.0 to 5.0.7 και πρόβλημα χαρακτηρίστηκε υψηλού κινδύνου.

Οι μεταγενέστερες εκδόσεις είναι ασφαλείς και συστήνεται η άμεση αναβάθμιση.

Πηγή : Spamfighter

[Cha0s]

Έλεος! :P

[zoxir]

Oh boy ευτυχώς δεν έχω κάποιο deployment με forti αυτή τη στιγμή, ε ρε τρέξιμο που θα ρίξουν οι sysadmins

[DVader]

Όποιος βασίζετε σε κωδικούς μονάχα για remote admin μοιραία μπορεί να την πατήσει ...
Όποιος βάζει και ip είναι καλύτερα καλυμμένος !

[Cha0s]

Όποιος βασίζετε σε κωδικούς μονάχα για remote admin μοιραία μπορεί να την πατήσει ...
Όποιος βάζει και ip είναι καλύτερα καλυμμένος !

Το best practice για SSH logins είναι η χρήση κλειδιών και disabled τελείως το password login.
Και σίγουρα ACLs βάσει IP (όπου αυτό είναι εφικτό) είναι ένα βήμα παραπάνω για μεγαλύτερη ασφάλεια.

Γενικά τέτοια devices είναι καλό να μην έχουν ανοιχτά (αχρείαστα) ports προς το public internet ασχέτως backdoors/vulnerabilities.

[turboirc]

Τι μπουρδα κωδικος ειναι αυτος. Κανει μπαμ απο μακρυα. Εγω θα εβαζα hardcoded 1234.

[eyw]

... Οι μεταγενέστερες εκδόσεις είναι ασφαλείς και συστήνεται η άμεση αναβάθμιση.

Ωραία, τώρα μπορώ να αλλάξω πλευρό και να κοιμηθώ ήσυχος.

[zardoz]

Παιδιά μπήκα στον κόπο και διάβασα την παλαιότερη τεχνική αναφορά (από κρυπταναλυτικής μεριάς) στο backdoor της juniper
και απλά ανατρίχιασα.

Οι σοβαρές εταιρείες (και έχω δουλέψει σε 2 από αυτές) μέσω το source control μπορούν να δούν ποιός/πότε έγραψε,
τί, σε ποιό σημείο του κώδικα και πότε.

Ακόμα και τότε που χρησιμοποιούσαμε microsoft visual sourcesafe, αυτό το κάναμε και μάλιστα συχνά.

Κάποιος "χρεώνεται" τις γραμμές του backdoor κώδικα, και ακόμα και αν δεν τις πρόσθεσε ο εν λόγω ανθρωπος αλλά η
κακή NSA που χάκαρε τον κωδικό του στο SCM, πάλι από κάπου το πιάνεις το νήμα.

Σαν να φαίνεται ότι απλά κανείς δεν αναζητά ποτέ τον αχυράνθρωπο ή τον κακόβουλο συνάδελφο. Ύποπτο

[DVader]

Παιδιά μπήκα στον κόπο και διάβασα την παλαιότερη τεχνική αναφορά (από κρυπταναλυτικής μεριάς) στο backdoor της juniper
και απλά ανατρίχιασα.

Οι σοβαρές εταιρείες (και έχω δουλέψει σε 2 από αυτές) μέσω το source control μπορούν να δούν ποιός/πότε έγραψε,
τί, σε ποιό σημείο του κώδικα και πότε.

Ακόμα και τότε που χρησιμοποιούσαμε microsoft visual sourcesafe, αυτό το κάναμε και μάλιστα συχνά.

Κάποιος "χρεώνεται" τις γραμμές του backdoor κώδικα, και ακόμα και αν δεν τις πρόσθεσε ο εν λόγω ανθρωπος αλλά η
κακή NSA που χάκαρε τον κωδικό του στο SCM, πάλι από κάπου το πιάνεις το νήμα.

Σαν να φαίνεται ότι απλά κανείς δεν αναζητά ποτέ τον αχυράνθρωπο ή τον κακόβουλο συνάδελφο. Ύποπτο

Η επειδή ξέρουν ποιος το έκανε δεν το στο λένε ποτέ !

[Dark Demis]

Παιδιά μπήκα στον κόπο και διάβασα την παλαιότερη τεχνική αναφορά (από κρυπταναλυτικής μεριάς) στο backdoor της juniper
και απλά ανατρίχιασα.

Οι σοβαρές εταιρείες (και έχω δουλέψει σε 2 από αυτές) μέσω το source control μπορούν να δούν ποιός/πότε έγραψε,
τί, σε ποιό σημείο του κώδικα και πότε.

Ακόμα και τότε που χρησιμοποιούσαμε microsoft visual sourcesafe, αυτό το κάναμε και μάλιστα συχνά.

Κάποιος "χρεώνεται" τις γραμμές του backdoor κώδικα, και ακόμα και αν δεν τις πρόσθεσε ο εν λόγω ανθρωπος αλλά η
κακή NSA που χάκαρε τον κωδικό του στο SCM, πάλι από κάπου το πιάνεις το νήμα.

Σαν να φαίνεται ότι απλά κανείς δεν αναζητά ποτέ τον αχυράνθρωπο ή τον κακόβουλο συνάδελφο. Ύποπτο

προφανώς και ξέρουν.. και προφανώς και συνεργάστηκαν μαζί τους... και τώρα προφανώς και έχει μπει καινούργιο bacdoor και για αυτό βγάζουν στην δημοσιότητα το παλιό....

[Helene]

Σαν να φαίνεται ότι απλά κανείς δεν αναζητά ποτέ τον αχυράνθρωπο ή τον κακόβουλο συνάδελφο. Ύποπτο

παράξενα πράγματα...

[SfH]

Δεν είναι ακριβώς ύποπτος κώδικας, backdoor για να κάνουν recovery είναι ( αν και προσπάθησαν να το spinάρουν υπερβολικά ). Στη μέχρι τώρα εμπειρία μου, πιο πολλά προϊόντα έχω δει που έχουν είτε vendor accounts ή τρόπο να τα διαχειρηστεί ο vendor, έστω και με τοπική πρόσβαση, παρά το αντίθετο. Δυστυχώς οι περισσότεροι το θεωρούν αποδεκτό ρίσκο σε σχέση με το κόστος που μπορεί να είχε η μη ύπαρξη του.

[pimp]

Όταν το πρώτο διάβασα, νόμισα ότι η "Forthnet" είχε το πρόβλημα.... χεχεχε!










Οοουυφφφ, έκανα μετά!