Не только компании Juniper Networks «посчастливилось» обнаружить в коде своей операционной системы посторонний код, впоследствии оказавшийся бэкдором. Теперь нечто странное выявили в коде ОС компании Fortinet — давнего конкурента Juniper Networks.
После того как в середине декабря 2015 года в коде ScreenOS были обнаружены посторонние компоненты (и никто не знает, как они туда попали), многие компании и частные исследователи взялись за проведение аудита своих или чужих продуктов.
Странности в коде FortiOS выявил неизвестный исследователь, который провел реверс-инжиниринг кода операционной системы. Этот аноним опубликовал написанный на Python скрипт, оказавшийся эксплоитом для SSH бэкдора в FortiOS (работает для версий 4.x до 5.0.7). Любой желающий может воспользоваться данным эксплоитом и атаковать уязвимый фаервол. В результате атакующий получит права администратора, доступ к командной строке и оборудованию.
По сути, неизвестный исследователь выявил, что операционная система оснащена самым настоящим бэкдором: он нашел жестко закодированный пароль «FGTAbc11*xy+Qqz27», с помощью которого можно получить несанкционированный и полный доступ к устройству через SSH.
В сети начались волнения, так как память о бэкдоре, обнаруженном в коде ScreenOS, еще очень свежа. Эксперты заподозрили, что операционная система FortiOS пострадала от такой же проблемы. Компания Fortinet была вынуждена выступить с официальным заявлением и успокоить специалистов.
Представители Fortinet сообщили, что это не АНБ поместило бэкдор в код их системы. По словам сотрудников компании, это вообще не бэкдор: «скорее это проблема управления аутентификацией».
Оказалось, что разработчики FortiOS заметили проблему самостоятельно, еще два года тому назад. Согласно бюллетеню безопасности от 12 января 2016 года, два года назад компания провела собственное расследование. Тогда разработчики пришли к выводу, что странный кусок кода появился в системе не в результате вмешательства посторонних лиц или вредоносной кампании. В июле 2014 года был выпущен патч, исправивший данную уязвимость.
Компания подчеркивает, что все версии FortiOS, старше 5.0.8, а также старше 4.3.17 уже не подвержены данной проблеме. Уязвимыми являются версии начиная с 4.3.0 до 4.3.16 и с 5.0.0 до 5.0.7. Означенные билды были выпущены в период с ноября 2012 года по июль 2014 года, то есть их нельзя назвать совсем устаревшими. Всем владельцам фаерволов настоятельно рекомендуют обновиться, а если такой возможности нет, хотя бы отключить админский доступ через SSH.
Фото: Fortinet
