Fortinet

Chiuse due backdoor in Fortinet FortiSIEM

di pubblicata il , alle 10:01 nel canale Security Chiuse due backdoor in Fortinet FortiSIEM

FortiSIEM è un sistema che permette di monitorare molti sistemi diversi alla ricerca di tracce di attacchi. Fortinet ha recentemente chiuso due backdoor che consentivano a malintenzionati di accedere ai sistemi

 

Fortinet ha recentemente rilasciato delle patch per rimuovere due backdoor da FortiSIEM, il suo sistema di gestione delle informazioni sulla sicurezza (SIEM sta per Security Information and Event Management). Tali backdoor permettevano ad eventuali attaccanti di ottenere informazioni vitali sul sistema, con il pericolo di cederne il controllo completo (ma non ci sono informazioni riguardo attacchi riusciti con queste modalità).

Fortinet FortiSIEM con due backdoor, arrivano le patch

FortiSIEM funziona aggregando dati provenienti da fonti differenti come sistemi operativi, applicazioni, antivirus, database e log dei server. Questa ingente mole di dati viene controllata alla ricerca di tracce di attacchi avvenuti o in corso per poter avvisare gli esperti di sicurezza dell'azienda così che intervengano. Di fatto un sistema SIEM si configura come una sorta di panopticon, ovvero un carcere in cui un singolo guardiano può controllare tutti i detenuti, tramite il quale controllare tutto ciò che avviene.

Va da sé che un panopticon può essere estremamente pericoloso se controllato da una forza esterna (verosimilmente ostile): l'accesso a queste informazioni può infatti dare importanti indizi agli attaccanti su come eludere le difese o sulle attività aziendali, mentre il controllo del sistema può permettere di cancellare le tracce una volta che l'attacco sia avvenuto.

Il 15 gennaio Fortinet ha rilasciato, come riporta ZDNet, una patch che risolve un problema relativo alla connessione SSH usata da FortiSIEM: all'interno del codice era infatti presente una chiave di cifratura hardcoded, ovvero inserita nel codice e presente in tutte le installazioni. Tale chiave era poi presente, non cifrata, nell'immagine di installazione di FortiSIEM. Usando la chiave era possibile accedere con l'utente "tunneluser", dai permessi limitati ma comunque in grado di leggere i dati.

L'utente è utilizzato per comunicare i dati al cloud di Fortinet. Si tratta di un account dai privilegi molto limitati che, da solo, offriva poche possibilità di danneggiamento; l'uso di tecniche di privilege escalation, ovvero di ottenimento di privilegi d'uso superiori rispetto a quelli normali dell'account, permette però teoricamente di ottenere il controllo del sistema. Un attaccante che fosse in grado di ottenere tali privilegi avrebbe di fatto ottenuto l'equivalente del controllo della sala di videosorveglianza: può vedere tutto e nascondere ciò che non vuole sia visto.

A causa di un problema nella gestione delle email, Fortinet ha rilasciato la patch per il problema 12 giorni dopo l'annuncio della scoperta della backdoor da parte di un ricercatore di sicurezza, Andrew Klaus. Le aziende clienti sono pertanto invitate a controllare i propri sistemi.

La seconda backdoor è dello stesso tipo: Fortinet aveva lasciato una password hardcoded che permetteva di accedere al database di FortiSIEM. Per sfruttare questa falla era necessario accedere alla rete interna dell'azienda vittima, ma tale problema era risolvibile utilizzando la connessione SSH lasciata aperta dall'altra backdoor.

È bene rimarcare comunque come non si trattasse di backdoor inserite volontariamente da Fortinet nel software, ma di problemi nella programmazione.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Perseverance29 Gennaio 2020, 10:28 #1
È bene rimarcare comunque come non si trattasse di backdoor inserite volontariamente da Fortinet nel software, ma di problemi nella programmazione.

Non ci credo xkè a quei livelli i programmatori quelle cose lì le farebbero solo di proposito e non per errore, tanto più se si tratta di un programma orientato alla sicurezza; saranno coscienti del fatto che stanno programmando Fortinet e non il distributore di noccioline.

Se fosse vero il problema sarebbe molto più grande di quello che si vuol far passare minimizzandolo così. Sicurezza in mano a privati e codice chiuso, venghino signori...
jepessen29 Gennaio 2020, 10:59 #2
Originariamente inviato da: Perseverance
Non ci credo xkè a quei livelli i programmatori quelle cose lì le farebbero solo di proposito e non per errore, tanto più se si tratta di un programma orientato alla sicurezza; saranno coscienti del fatto che stanno programmando Fortinet e non il distributore di noccioline.

Se fosse vero il problema sarebbe molto più grande di quello che si vuol far passare minimizzandolo così. Sicurezza in mano a privati e codice chiuso, venghino signori...


La mia sensazione di programmatore e' che quelle backdoor siano state inserite nel codice appositamente, ma per ragioni di debug. In realta' non e' una cosa inconsueta. Il fatto e' che quel codice doveva essere escluso dalla compilazione in release, quindi, ad esempio in cpp, doveva stare all'interno di clausole come

[CODE]#ifdef DEBUG
...
#endif[/CODE]

Personalmente preferisco mettere codice che deve girare esclusivamente in debug su file separati, ma non e' questo il punto. Il punto e' che sono backdoor che e' lecito mettere quando si fa sviluppo e debug, ma che di solito non vengono neanche compilate in release, altrimenti anche se non vengono utilizzate nel codice un programmatore con un disassembler puo' sempre scoprirle nelle librerie ed utilizzarle.
andbad29 Gennaio 2020, 11:23 #3
Solo alla fine della news ho finalmente compreso che non si parlava di Fortnite

Adesso mi è tutto più chiaro.

By(t)e

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^