Fortigates mit „backdoor“ ?

Veröffentlicht am von Dezember 12, 2017

Wie am 12. Januar 2016 bekannt und später vom Hersteller bestätigt wurde (FortiGuard Advisory), hat man in älteren Firmware-Version des FortiOS eine Möglichkeit entdeckt, die ggf. unautorisierten Zugang auf die administrative Kommandozeile von aussen erlaubt.

Allerdings müssen dazu mehrere Bedingungen erfüllt sein:

  • auf dem WAN-Interface muss SSH als Zugangsweg erlaubt worden sein.
  • es wird ein Challenge-Response-Verfahren zum Einloggen verwendet, das nicht dem Standard-SSH-Protokoll entspricht. Zugang über einen SSH-Client ist somit nicht möglich.
  • die Fortigate muss auf einem der folgenden Firmware-Stände sein:
    • v4.1.0 – v4.1.11
    • v4.2.0 – v4.2.15
    • v4.3.0 – v4.3.16
    • v5.0 GA bis v5.0.7

Durch ein festes, in der Firmware hinterlegtes Passwort (FGTAbc11*xy+Qqz27„) für den „virtuellen“ Administrator „Fortimanager_Access“ kann dann mit geeigneter Software die betroffene Fortigate administriert werden. Dazu existiert seit kurzem ein python-Script.

FORTINET hat gestern (13.1.16) ein kurzes statement dazu abgegeben (http://blog.fortinet.com/post/brief-statement-regarding-issues-found-with-fortios (PDF vom 8.8.17)). Demnach ist dieser Zugang für interne Zwecke gedacht gewesen, um die Administration von Fortigates von der Management-Plattform FortiManager aus zu ermöglichen, ohne daß der Benutzer einen Zugang manuell anlegen muss.

Für die meisten bestehenden Installationen besteht – auch nach Veröffentlichung des exploit-Scripts – keine Gefahr, denn die Firmware-Versionen

  • v4.1.11 build 3963 (19.1.2016)
  • v4.2.16 build 3964 (19.1.2016)
  • v4.3.17 build 688 (14.7.2014)
  • v5.0.8 build 291 (30.7.2014)

schließen diese Lücke (Veröffentlichungsdatum in Klammern).

Die aktuellen FortiOS Versionen v5.2 und v5.4 sind nicht betroffen.

Hinweis: Kunden ohne gültigen Supportvertrag können normalerweise keine Firmware-Updates herunterladen. In diesem Fall jedoch können sie sich wegen eines Updates an den Fortinet Customer Service (cs@fortinet.com) wenden.

Es bleibt allerdings zu fragen, wieso Fortinet die Existenz und die Beseitigung dieser Zugriffsmöglichkeit nicht öffentlich dokumentiert hat – in den Release Notes findet sich keinerlei Hinweis.

 

Die Kommentarfunktion ist geschlossen.