Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties
Submitter: soczol

In bepaalde versies van het besturingssysteem FortiOS, dat aanwezig is op firewalls van Fortinet, zou een authenticatielek bestaan. Daardoor zou een aanvaller toegang kunnen krijgen tot het apparaat. Het beveiligingsbedrijf bestrijdt dat het om een backdoor gaat.

Volgens verschillende Twitter-berichten zou het bij de kwetsbaarheid juist wel om een backdoor gaan. De berichten zijn onder andere afkomstig van beveiligingsonderzoeker Ralf-Philipp Weinmann, die eerder berichten publiceerde over het lek in Juniper-firewalls. De kwetsbaarheid kwam onder de aandacht nadat een python-exploit verscheen in een mailinglijst. Deze zou volgens Ars Technica gebruikmaken van een voorgeprogrammeerd wachtwoord, FGTAbc11*xy+Qqz27, waarmee een aanvaller een ssh-verbinding tot stand kan brengen. Andere bronnen schrijven dat er een variabele wordt aangemaakt, aan de hand waarvan een authenticatiesleutel wordt gegenereerd.

Volgens Fortinet is het echter geen backdoor, maar een 'management authentication issue'. De kwetsbaarheid komt volgens het bedrijf voor in versies 4.3.0 tot 4.3.16 en 5.0.0 tot 5.0.7 van FortiOS. Dit laat het weten in een security advisory. Ook zou het lek al in juli 2014 zijn opgelost. Dit betekent dat alleen apparaten die gebruikmaken van een verouderde versie van de FortiOS-software kwetsbaar zijn. Het wordt dus ook sterk aangeraden om een update uit te voeren.

Daarnaast is er volgens Fortinet geen sprake van dat de kwetsbaarheid 'voortkomt uit de kwaadwillende bedoelingen van interne of externe partijen'. Daarmee lijkt het bedrijf de schijn tegen te willen gaan dat iemand opzettelijk toegang tot de firewalls mogelijk wilde maken. Dezelfde vermoedens kwamen ook naar voren bij het recente lek in Juniper-firewalls.

Moderatie-faq Wijzig weergave

Reacties (24)

Zeg Tweakers, waar zijn jullie mee bezig om dat paswoord zo open en bloot mee te publiceren en (mogelijks) duizenden bedrijven zo kwetsbaar te maken...

Maar als iemand een link naar een google link om gratis apk'tje van Angry birds te downloaden plaatst is het hek van de dam...

[Reactie gewijzigd door musback op 13 januari 2016 13:53]

Tuurlijk is dit een ernstige bug. Echter:
  • Gebruikers die niet in de trusted hosts lijst staan krijgen geen kans om in te loggen via SSH.
  • Enkel versie 5.0.7 en sommige daaronder is kwetsbaar. Inmiddels is versie 5.2.5 al uitgekomen en draaien een grote hoeveelheid Fortigate's hier al op.

[Reactie gewijzigd door Yariva op 13 januari 2016 15:09]

Belangerijke aanvulling:
5.0 is een MR Major release (bijv.windows 7)
5.2 is een MR Major release (bijv .windows 8 )

5.2.5 is OS versie 5.2 met (zeg maar) servicepack 5.
5.0.7 is OS versie 5.0 met servicepack 7.

laatste releases zijn:
OS 5.4. build 1011 (release 21 dec 2015)
OS 5.2.5 build 0701 release 3 dec 2015)
OS 5.0.12 build 0318 release 15 may 2015)

backdoor is alleen in Fortigate os versie 4.x tot 5.0.7.
aanvullend; in je GUI (https) ga naar Network > interfaces > zet op je internet interface vinkje SSH uit.

meer info op de Fortinet website: http://blog.fortinet.com/...issues-found-with-fortios

[Reactie gewijzigd door itlee op 13 januari 2016 15:27]

De latere versies van de 4.3.x reeks zijn ook niet vulnerable. Ik heb hier bij mij thuis nog een device dat op 4.3.18 draait, daar even op getest en het werkt (gelukkig) niet.
Tweakers heeft in het verleden meerdere malen reacties met exploit details verwrijderd met als opermerking dat dit tegen te redel van van tweakers in ging. Dus bij het publiceren van deze exploit infomatie zijn ze gewoon hypocriet bezig.
Security by obscurity? Nee, dit moet gewoon naar buiten komen. Men vertrouwd zich blindelings op firewalls van de grote bedrijven en langzaam aan laten deze steeds vaker steken vallen.

Ik vertrouw zelf nog steeds veel meer op mijn kale Linux machines met ip(6)tables en/of BSD machines met PF dan dat ik een black box van een dergelijke fabrikant ga ophangen.
Stel even dat jij een code op je voordeur hebt zitten. Keurig lastige code van pakweg 12 cijfers. Je vrouw kan die nietonthouden en die maakt een notitoe ervan. Ik zie die notitie en plak hem naast het cijfersslot op je voordeur ( het internet).
Jij roept dan natuurlijk: security by obscurity ?? 8)7
Kortom, onzinnige reactie. Het bekend maken van het lek is voldoende om actie te triggeren. Mensen nog kwetsbaarder maken door het lek bruikbaar wereldkundig te maken zodat iedere gek daar gebruik van kan maken heeft daar niets mee te maken.
Je praat nu dus effectief de backdoor van dat apparaat goed?

Deze backdoor had er nooit in moeten zitten. Hoe lang het wachtwoord ook is, je zou er gewoon nooit in mogen kunnen met een standaard, verborgen account.
Zeg Tweakers, waar zijn jullie mee bezig om dat paswoord zo open en bloot mee te publiceren en (mogelijks) duizenden bedrijven zo kwetsbaar te maken...
Dat kwetsbaar maken heeft Tweakers geen aandeel in... dat is dat lek.
Alsof iemand die kwaad in de zin heeft afhankelijk is van Tweakers om dat wachtwoord te vinden...
Met deze redenatie, kan je ook stellen:

'Alsof iemand die een gratis apk'tje van Agry Birds wil downloaden afhankelijk is van Tweakers' :)
Het verschil is dat dit lek nieuwswaarde heeft en Tweakers onder andere een nieuwssite is. Tweakers is geen warezsite ;)
Ik heb even gegoogeld op dit wachtwoord: 171 resultaten en Tweakers.net was de zesde.
Zeg Tweakers, waar zijn jullie mee bezig om dat paswoord zo open en bloot mee te publiceren en (mogelijks) duizenden bedrijven zo kwetsbaar te maken...
de exploit is publiek beschikbaar voor iedereen. er is journalistiek gezien weinig op tegen het wachtwoord maar gewoon in een artikel op te nemen. Al helemaal niet omdat het lek 1,5 jaar geleden (!!) - namelijk juni 2014 - al gedicht is.

Daarnaast staat SSH toegang als het goed is _nooit_ open de WAN interface. Dat dient beperkt te zijn tot een management vlan.
Die eerste reactie ook _O_
So they're saying there was no malice, just an astounding level of incompetence in the area in which they are supposed to be experts?
Nagenoeg alle Fortinet apparatuur is ook vatbaar voor een DoS via masscan... vanaf 1 computer. Gaat niet zo goed met ze :p
Dat is de bron van het artikel over de ssh toegang ;)

@Johnkeates: Ik heb ook wel interesse in de bron van de DoS via masscan.
Dit is de bron voor het artikel, niet voor de bewering van johnkeates. Graag zie ik een bron die de bewering wel bevestigt, ik kan er niks over vinden namelijk. :)
Dan moet je duidelijker zijn :)
Hij quote toch duidelijk johnkeates?
Net zoals ik jou nu quote (rj_kap86)!
Machines die een directe admin / root (met een standaard account) login toelaten....

Even die "bug" daargelaten maar een beetje beheerder laat iemand eerst inloggen met een user account met minimale rechten. Eenmaal in het systeem kan die nogmaals inloggen als admin / root etc.

Op dit item kan niet meer gereageerd worden.



Samsung Galaxy S7 edge Athom Homey Apple iPhone SE Raspberry Pi 3 Apple iPad Pro Wi-Fi (2016) HTC 10 Hitman (2016) LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True