Backdoor ontdekt in verouderde versies van FortiOS besturingssysteem

Oude versies van het FortiOS besturingssysteem dat op Fortinet’s FortiGate firewalls wordt gebruikt blijken een SSH backdoor te bevatten. De backdoor kan worden gebruikt om toegang te verkrijgen tot de firewalls.

Een anonieme gebruiker heeft via de Full Disclosure mailing list een Python script openbaar gemaakt waarmee misbruik kan worden gemaakt van de backdoor. Aanvallers kunnen hiermee via het SSH protocol kunnen inloggen op FortiManager, beheersoftware voor apparatuur van Fortinet. Hiervoor wordt de gebruikersnaam ‘Fortimanager_Access’ en een gehashte versie van het wachtwoord ‘FGTAbc11*xy+Qqz27’ gebruikt.

Aanwezig in verouderde versies

De backdoor zou aanwezig zijn in alle FortiOS 4.3.0 tot 4.3.16 en 5.0.0 tot 5.0.7. Deze versies zijn uitgebracht tussen november 2012 en juli 2014. Fortinet bevestigt dat het gaat om een oude backdoor die in een update in juli 2014 is verwijderd. Het bedrijf stelt geen aanwijzigingen te hebben dat de backdoor is misbruikt.

Om gebruik te maken van de backdoor moeten aanvallers inloggen via SSH. Beheerders die een verouderde versie van FortiOS draaien en niet in staat zijn het besturingssysteem te updaten kunnen misbruik voorkomen door toegang voor beheerders via SSH uit te schakelen en voortaan de webinterface te gebruiken om toegang te krijgen tot FortiManager. Indien beheerders toch SSH nodig hebben biedt versie 5.x de mogelijkheid toegang via SSH te beperken tot een aantal specifieke IP-adressen.