Fest codiertes Passwort macht ältere Firewalls von Fortinet angreifbar
Der anfällige Code steckt in einem Authentifizierungsprozess. Unter Ausnutzung der Schwachstelle ist es möglich, aus der Ferne auf einen Server mit Fortinets Software FortiOS zuzugreifen. Laut Hersteller wurde die Lücke aber bereits 2014 von ihm selbst erkannt und geschlossen.
Nutzer einer Firewall von Fortinet sollten unbedingt prüfen, ob die mit der aktuellen Firmware läuft. Wie ArsTechnica berichtet hat, sind nämlich zumindest Versionen, die älter als 2014 sind, relativ einfach angreifbar. Grund dafür ist, dass in einem Authentifizierungsmechanismus FGTAbc11*xy+Qqz27 als Passwort fest codiert ist.
Laut Securelist handelt es sich dabei um eine SSH-Backdoor in FortiGate OS , die in den Versionen 4.x bis 5.0.7 steckt. ArsTechnica verweist zudem auf einen von einem Techniker bei Twitter kurz darauf veröffentlichten Screenshot, der belegen soll, dass Unbefugte mittels eines Exploits SSH-Zugriff auf Geräte erhalten können, die mit älteren Versionen von FortiOS betrieben werden.
Die Site zitiert auch den Sicherheitsforscher Ralf-Philipp Weinmann, der an der Analyse der Geheimdiensten zumindest bekannten Backdoor im Betriebssystem der Netscreen-Firewalls von Juniper beteiligt war. Weinmann bezeichnet auch den problematischen Code in der Fortinet-Software als Hintertür. Ihm sei es zudem gelungen, den von einem anderen Forscher entwickelten Exploit wie beschrieben anzuwenden.
Die Lücke räumt Fortinet zwar ein, wendet sich aber entschieden gegen die Verwendung des Begriffes “Backdoor”. Die nun öffentlich gemachte Schwachstelle sei von den eigenen Technikern im Rahmen ihrer regulären Tätigkeit bereits 2014 festgestellt und damals durch einen Patch behoben worden. Es handle sich allerdings nicht um eine Hintertür, sondern eher ein Problem mit der Verwaltung der Authentifizierung. “Nach sorgfältiger Analyse und Untersuchung konnten wir sicherstellen, dass es sich dabei um keinerlei böswillige Aktivitäten Dritter handelt, weder Interner noch Externer”, so der Hersteller.
Entgegen der Darstellung bei Securelist seien Nutzer von FortiOS v4.3.17 und jeder später als am 9. Juli 2014 veröffentlichten Version der Fortinet-Software nicht betroffen. Auch bei FortiOS v5.0.8 und den später als 28. Juli 2014 veröffentlichten Versionen von FortiOS v5.0 sowie alle Versionen von FortiOS v5.2 und v5.4 bestehe keine Gefahr. Alle anderen Nutzer sollten umgehend ein Update einspielen, empfiehlt der Hersteller.