basiczto - Fotolia

De nouveaux accès aux comptes administratifs sur les équipements Fortinet

L’équipementier vient de découvrir un compte d’administration à distance, dont le mot de passe est codé en dur, dans plusieurs versions de ses produits FortiSwitch, FortiAnalyzer, et FortiCache. Il réfute toujours le terme de porte dérobée.

Fortinet vient de trouver un compte d’administration SSH à distance, au sein de plusieurs versions de ses équioements FortSwitch, FortiAnalyzer, et FortiCache, dont le mot de passe ne peut être modifié par l’utilisateur : ce dernier est inscrit directement dans le code du logiciel d’exploitation embarqué.

Dans une alerte mise à jour, Fortinet précise les versions concernées : FortiAnalyzer, de 5.0.5 à 5.0.11, puis de 5.2 à 5.2.4 ; FortiSwtich de 3.3.0 à 3.3.2 ; et FortiCache 3.0 à 3.0.07. L’équipementier formule en parallèle quelques recommandations pour se protéger : restriction de l’accès aux interfaces d’administration sur FortiAnalyzer à quelques adresses IP de confiance, ou encore désactiver l’accès SSH sur FortiSwitch et FortiCache, au profit de l’interface Web.

C’est dans la soirée du mardi 12 janvier dernier que Ralf-Philip Weinmann – qui s’est longuement penché sur les portes dérobées des appliances NetScreen de Juniper – a mis la main sur un échantillon de code Python publié sur SecLists.org, et permettant d’accéder en tant qu’administrateur aux appliances Fortinet équipées de certaines anciennes versions de FortiOS. Et de confirmer, après essai, son fonctionnement, avant que le Dr David D. Davidson ne fournisse une capture d’écran pour enfoncer le clou.

Fortinet s’est empressé de publier une brève déclaration, réfutant le terme de porte dérobée pour lui préférer celui de « problème de gestion de l’authentification » lié à son système d’administration FortiManager. Un problème dont l’équipementier indique qu’il a été « identifié par notre équipe de sécurité produit dans le cadre de ses efforts réguliers de revue [de code] et de test ».

Mais pour Rob Graham, notamment, l’absence d’intention malicieuse ne suffit à réfuter la qualification de porte dérobée. Et la vulnérabilité n’en est pas moins une… Certains clients de Fortinet ont d’ailleurs pu constater d’une progression conséquente des tentatives d’accès SSH à leurs équipements, notamment depuis la Chine, comme le souligne Jim Clausing dans les forums de l’institut Sans. 

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)