Bepaalde versies Fortinet-firewalls zijn kwetsbaar door authenticatielek

In bepaalde versies van het besturingssysteem FortiOS, dat aanwezig is op firewalls van Fortinet, zou een authenticatielek bestaan. Daardoor zou een aanvaller toegang kunnen krijgen tot het apparaat. Het beveiligingsbedrijf bestrijdt dat het om een backdoor gaat.

Volgens verschillende Twitter-berichten zou het bij de kwetsbaarheid juist wel om een backdoor gaan. De berichten zijn onder andere afkomstig van beveiligingsonderzoeker Ralf-Philipp Weinmann, die eerder berichten publiceerde over het lek in Juniper-firewalls. De kwetsbaarheid kwam onder de aandacht nadat een python-exploit verscheen in een mailinglijst. Deze zou volgens Ars Technica gebruikmaken van een voorgeprogrammeerd wachtwoord, FGTAbc11*xy+Qqz27, waarmee een aanvaller een ssh-verbinding tot stand kan brengen. Andere bronnen schrijven dat er een variabele wordt aangemaakt, aan de hand waarvan een authenticatiesleutel wordt gegenereerd.

Volgens Fortinet is het echter geen backdoor, maar een 'management authentication issue'. De kwetsbaarheid komt volgens het bedrijf voor in versies 4.3.0 tot 4.3.16 en 5.0.0 tot 5.0.7 van FortiOS. Dit laat het weten in een security advisory. Ook zou het lek al in juli 2014 zijn opgelost. Dit betekent dat alleen apparaten die gebruikmaken van een verouderde versie van de FortiOS-software kwetsbaar zijn. Het wordt dus ook sterk aangeraden om een update uit te voeren.

Daarnaast is er volgens Fortinet geen sprake van dat de kwetsbaarheid 'voortkomt uit de kwaadwillende bedoelingen van interne of externe partijen'. Daarmee lijkt het bedrijf de schijn tegen te willen gaan dat iemand opzettelijk toegang tot de firewalls mogelijk wilde maken. Dezelfde vermoedens kwamen ook naar voren bij het recente lek in Juniper-firewalls.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 13-01-2016 13:02
24 • submitter: soczol

13-01-2016 • 13:02

24

Submitter: soczol

Lees meer

Juniper schrapt elementen van zijn ScreenOS-software die lekken vertoonden
Juniper schrapt elementen van zijn ScreenOS-software die lekken vertoonden Nieuws van 9 januari 2016
NSA en GCHQ werkten samen voor toegang tot Juniper-apparatuur
NSA en GCHQ werkten samen voor toegang tot Juniper-apparatuur Nieuws van 24 december 2015
'Juniper gebruikt door NSA verzwakt algoritme voor encryptie'
'Juniper gebruikt door NSA verzwakt algoritme voor encryptie' Nieuws van 22 december 2015
Onderzoeker ontdekt wachtwoord van Juniper ScreenOS-backdoor
Onderzoeker ontdekt wachtwoord van Juniper ScreenOS-backdoor Nieuws van 21 december 2015
Juniper ontdekt lek via 'ongeautoriseerde code' in zijn ScreenOS-software
Juniper ontdekt lek via 'ongeautoriseerde code' in zijn ScreenOS-software Nieuws van 18 december 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (24)

-Moderatie-faq
24
23
10
2
0
0
Wijzig sortering
musback 13 januari 2016 13:42
Zeg Tweakers, waar zijn jullie mee bezig om dat paswoord zo open en bloot mee te publiceren en (mogelijks) duizenden bedrijven zo kwetsbaar te maken...

Maar als iemand een link naar een google link om gratis apk'tje van Angry birds te downloaden plaatst is het hek van de dam...

[Reactie gewijzigd door musback op 29 juli 2024 00:28]

Yariva Moderator internet & netwerken @musback13 januari 2016 14:11
Tuurlijk is dit een ernstige bug. Echter:
  • Gebruikers die niet in de trusted hosts lijst staan krijgen geen kans om in te loggen via SSH.
  • Enkel versie 5.0.7 en sommige daaronder is kwetsbaar. Inmiddels is versie 5.2.5 al uitgekomen en draaien een grote hoeveelheid Fortigate's hier al op.

[Reactie gewijzigd door Yariva op 29 juli 2024 00:28]

itlee @Yariva13 januari 2016 15:27
Belangerijke aanvulling:
5.0 is een MR Major release (bijv.windows 7)
5.2 is een MR Major release (bijv .windows 8 )

5.2.5 is OS versie 5.2 met (zeg maar) servicepack 5.
5.0.7 is OS versie 5.0 met servicepack 7.

laatste releases zijn:
OS 5.4. build 1011 (release 21 dec 2015)
OS 5.2.5 build 0701 release 3 dec 2015)
OS 5.0.12 build 0318 release 15 may 2015)

backdoor is alleen in Fortigate os versie 4.x tot 5.0.7.
aanvullend; in je GUI (https) ga naar Network > interfaces > zet op je internet interface vinkje SSH uit.

meer info op de Fortinet website: http://blog.fortinet.com/...issues-found-with-fortios

[Reactie gewijzigd door itlee op 29 juli 2024 00:28]

blinchik @itlee13 januari 2016 22:37
De latere versies van de 4.3.x reeks zijn ook niet vulnerable. Ik heb hier bij mij thuis nog een device dat op 4.3.18 draait, daar even op getest en het werkt (gelukkig) niet.
elmuerte @Yariva13 januari 2016 21:46
Tweakers heeft in het verleden meerdere malen reacties met exploit details verwrijderd met als opermerking dat dit tegen te redel van van tweakers in ging. Dus bij het publiceren van deze exploit infomatie zijn ze gewoon hypocriet bezig.
Snow_King @musback13 januari 2016 14:12
Security by obscurity? Nee, dit moet gewoon naar buiten komen. Men vertrouwd zich blindelings op firewalls van de grote bedrijven en langzaam aan laten deze steeds vaker steken vallen.

Ik vertrouw zelf nog steeds veel meer op mijn kale Linux machines met ip(6)tables en/of BSD machines met PF dan dat ik een black box van een dergelijke fabrikant ga ophangen.
SED @Snow_King13 januari 2016 16:03
Stel even dat jij een code op je voordeur hebt zitten. Keurig lastige code van pakweg 12 cijfers. Je vrouw kan die nietonthouden en die maakt een notitoe ervan. Ik zie die notitie en plak hem naast het cijfersslot op je voordeur ( het internet).
Jij roept dan natuurlijk: security by obscurity ?? 8)7
Kortom, onzinnige reactie. Het bekend maken van het lek is voldoende om actie te triggeren. Mensen nog kwetsbaarder maken door het lek bruikbaar wereldkundig te maken zodat iedere gek daar gebruik van kan maken heeft daar niets mee te maken.
Snow_King @SED13 januari 2016 16:24
Je praat nu dus effectief de backdoor van dat apparaat goed?

Deze backdoor had er nooit in moeten zitten. Hoe lang het wachtwoord ook is, je zou er gewoon nooit in mogen kunnen met een standaard, verborgen account.
Anoniem: 80487 @musback13 januari 2016 14:03
Zeg Tweakers, waar zijn jullie mee bezig om dat paswoord zo open en bloot mee te publiceren en (mogelijks) duizenden bedrijven zo kwetsbaar te maken...
Dat kwetsbaar maken heeft Tweakers geen aandeel in... dat is dat lek.
anboni @musback13 januari 2016 14:10
Alsof iemand die kwaad in de zin heeft afhankelijk is van Tweakers om dat wachtwoord te vinden...
zerocool82 @anboni13 januari 2016 14:14
Met deze redenatie, kan je ook stellen:

'Alsof iemand die een gratis apk'tje van Agry Birds wil downloaden afhankelijk is van Tweakers' :)
Rafe @zerocool8213 januari 2016 14:58
Het verschil is dat dit lek nieuwswaarde heeft en Tweakers onder andere een nieuwssite is. Tweakers is geen warezsite ;)
Yodocus @musback13 januari 2016 15:16
Ik heb even gegoogeld op dit wachtwoord: 171 resultaten en Tweakers.net was de zesde.
arjankoole @musback13 januari 2016 20:48
Zeg Tweakers, waar zijn jullie mee bezig om dat paswoord zo open en bloot mee te publiceren en (mogelijks) duizenden bedrijven zo kwetsbaar te maken...
de exploit is publiek beschikbaar voor iedereen. er is journalistiek gezien weinig op tegen het wachtwoord maar gewoon in een artikel op te nemen. Al helemaal niet omdat het lek 1,5 jaar geleden (!!) - namelijk juni 2014 - al gedicht is.

Daarnaast staat SSH toegang als het goed is _nooit_ open de WAN interface. Dat dient beperkt te zijn tot een management vlan.
wallywally 13 januari 2016 13:36
Die eerste reactie ook _O_
So they're saying there was no malice, just an astounding level of incompetence in the area in which they are supposed to be experts?
johnkeates 13 januari 2016 13:19
Nagenoeg alle Fortinet apparatuur is ook vatbaar voor een DoS via masscan... vanaf 1 computer. Gaat niet zo goed met ze :p
wallywally @johnkeates13 januari 2016 13:28
Bron?
Anoniem: 511294 @wallywally13 januari 2016 13:51
http://seclists.org/fulldisclosure/2016/Jan/26
Sorki @Anoniem: 51129413 januari 2016 14:46
Dat is de bron van het artikel over de ssh toegang ;)

@Johnkeates: Ik heb ook wel interesse in de bron van de DoS via masscan.
Feni @Anoniem: 51129413 januari 2016 14:46
Dit is de bron voor het artikel, niet voor de bewering van johnkeates. Graag zie ik een bron die de bewering wel bevestigt, ik kan er niks over vinden namelijk. :)
Anoniem: 511294 @Feni13 januari 2016 15:20
Dan moet je duidelijker zijn :)
jimbo123 @Anoniem: 51129413 januari 2016 20:11
Hij quote toch duidelijk johnkeates?
Net zoals ik jou nu quote (rj_kap86)!
eheijnen 13 januari 2016 18:22
Machines die een directe admin / root (met een standaard account) login toelaten....

Even die "bug" daargelaten maar een beetje beheerder laat iemand eerst inloggen met een user account met minimale rechten. Eenmaal in het systeem kan die nogmaals inloggen als admin / root etc.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq