Chiuse due backdoor in Fortinet FortiSIEM

Fortinet ha recentemente rilasciato delle patch per rimuovere due backdoor da FortiSIEM, il suo sistema di gestione delle informazioni sulla sicurezza (SIEM sta per Security Information and Event Management). Tali backdoor permettevano ad eventuali attaccanti di ottenere informazioni vitali sul sistema, con il pericolo di cederne il controllo completo (ma non ci sono informazioni riguardo attacchi riusciti con queste modalità).

Fortinet FortiSIEM con due backdoor, arrivano le patch

FortiSIEM funziona aggregando dati provenienti da fonti differenti come sistemi operativi, applicazioni, antivirus, database e log dei server. Questa ingente mole di dati viene controllata alla ricerca di tracce di attacchi avvenuti o in corso per poter avvisare gli esperti di sicurezza dell'azienda così che intervengano. Di fatto un sistema SIEM si configura come una sorta di panopticon, ovvero un carcere in cui un singolo guardiano può controllare tutti i detenuti, tramite il quale controllare tutto ciò che avviene.

Va da sé che un panopticon può essere estremamente pericoloso se controllato da una forza esterna (verosimilmente ostile): l'accesso a queste informazioni può infatti dare importanti indizi agli attaccanti su come eludere le difese o sulle attività aziendali, mentre il controllo del sistema può permettere di cancellare le tracce una volta che l'attacco sia avvenuto.

Il 15 gennaio Fortinet ha rilasciato, come riporta ZDNet, una patch che risolve un problema relativo alla connessione SSH usata da FortiSIEM: all'interno del codice era infatti presente una chiave di cifratura hardcoded, ovvero inserita nel codice e presente in tutte le installazioni. Tale chiave era poi presente, non cifrata, nell'immagine di installazione di FortiSIEM. Usando la chiave era possibile accedere con l'utente "tunneluser", dai permessi limitati ma comunque in grado di leggere i dati.

L'utente è utilizzato per comunicare i dati al cloud di Fortinet. Si tratta di un account dai privilegi molto limitati che, da solo, offriva poche possibilità di danneggiamento; l'uso di tecniche di privilege escalation, ovvero di ottenimento di privilegi d'uso superiori rispetto a quelli normali dell'account, permette però teoricamente di ottenere il controllo del sistema. Un attaccante che fosse in grado di ottenere tali privilegi avrebbe di fatto ottenuto l'equivalente del controllo della sala di videosorveglianza: può vedere tutto e nascondere ciò che non vuole sia visto.

A causa di un problema nella gestione delle email, Fortinet ha rilasciato la patch per il problema 12 giorni dopo l'annuncio della scoperta della backdoor da parte di un ricercatore di sicurezza, Andrew Klaus. Le aziende clienti sono pertanto invitate a controllare i propri sistemi.

La seconda backdoor è dello stesso tipo: Fortinet aveva lasciato una password hardcoded che permetteva di accedere al database di FortiSIEM. Per sfruttare questa falla era necessario accedere alla rete interna dell'azienda vittima, ma tale problema era risolvibile utilizzando la connessione SSH lasciata aperta dall'altra backdoor.

È bene rimarcare comunque come non si trattasse di backdoor inserite volontariamente da Fortinet nel software, ma di problemi nella programmazione.