Flere Fortinet-bokser har udokumentert SSH-konto

Blir nå utsatt for målrettet skanning.

Listen over produkter fra Fortinet som bør oppgraderes vokser.
Listen over produkter fra Fortinet som bør oppgraderes vokser. Bilde: Colourbox/digi.no, fotofikling
25. jan. 2016 - 09:59

Flere nettverksprodukter fra amerikanske Fortinet har en udokumentert SSH-konto for fjernaksess, med et hardkodet passord kunden ikke kan bytte.

Listen over berørte produkter vokser etter at selskapet har foretatt en bredere granskning, inkludert gjennomgang av all kildekode.

Konklusjonen er at flere versjoner av Fortiswitch, Fortianalyzer samt Forticache også er omfattet, og dermed risikerer uautorisert tilgang.

I en redegjørelse gjentar selskapet sitt budskap om at den udokumenterte kontoen er der som en utilsiktet konsekvens, og ikke resultat av ond vilje.

– Det er viktig å få med seg at dette ikke er en ondsinnet bakdør implementert for å gi uautorisert brukertilgang. Som vi har sagt tidligere er dette en utilsiktet konsekvens av en funksjon, som ble laget for å tilby sømløs tilgang fra en autorisert Fortimanager til registrerte Fortigate-enheter.

Selskapet anbefaler kundene om å straks oppdatere relevant utstyr. Varselet ramser opp følgende enheter og versjoner som berørt:

  • Fortianalyser versjoner 5.0.5 til 5.0.11 og 5.2.0 til 5.2.4 (4.3-serien er ikke berørt)
  • Fortiswitch versjoner fra 3.0.0 til 3.3.2
  • Forticache versjoner 3.0.0 til 3.0.7 (3.1-serien er ikke berørt)
  • FortiOS versjoner fra 4.1.0 til 4.1.10
  • FortiOS versjoner fra 4.2.0 til 4.2.15
  • FortiOS versjoner fra 5.0.0 til 5.0.7

Kina-skanning

Sikkerhetseksperter fra SANS Intitute har dokumentert en økning i antall skanneforsøk, der noen forsøker å identifisere og eventuelt kompromittere sårbare Fortinet-bokser.

Det er nok en enkel jobb ettersom både brukernavn og passord for den udokumenterte SSH-kontoen nå er viden kjent.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

Mesteparten av skanningen ble utført fra to kinesiske IP-adresser, opplyser SANS Institute.

- Så hvis du ikke allerede har installert sikkerhetsoppdateringene og beskyttet enhetene bak en brannmur, så er sjansen stor for at du allerede er blitt skannet og muligens kompromittert.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.