Backdoor su dispositivi Fortigate
01/13/2016
Proto: N030116.
Con la presente Yoroi desidera comunicarLe che è stata recentemente resa pubblica una grave problematica di sicurezza all'interno dei dispositivi Firewall Fortigate sui quali risulta essere attiva una backdoor in grado di permettere ad attaccanti remoti di ottenere accesso alla console di amministrazone del dispositivo.
La backdoor risulta presente in numerose versioni del software di sistema FortiOS utilizzato all'interno di macchine firewall Fortigate, le versioni del software affette dalla problematica di sicurezza confermate dal produttore risultano essere:
-
FortiOS versioni precedenti a v4.3.17.
-
FortiOS versioni precedenti a v5.0.8.
Non risultano invece vulnerabili le versioni v5.2 e v5.4 di FortiOS.
La problematica di sicurezza è di particolare gravità in quanto la backdoor era stata introdotta dal produttore stesso per scopi di manutenzione, tuttavia la chiave di accesso alla console di comando è fissa e non configurabile dal software di gestione del Firewall, per cui fuori dal controllo del personale incaricato alla gestione del dispositivo.
Siccome sia chiavi di accesso che strumenti di attacco in grado di fornire accesso alla backdoor sono stati resi pubblici, Yoroi consiglia di verificare lo stato di aggiornamento del firmware dei dispositivi Fortigate in uso presso le vostre organizzazioni e se necessario di richiedere l'applicazione degli aggiornamenti software al gestore del dispositivo. La seguente immagine riporta la schermata della console di comando accessibile attraverso la backdoor presente sulle versioni di FortiOS vulnerabili.
Figura 1. Schermata di amministrazione accessibile attraverso backdoor Fortigate
Yoroi suggerisce inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
