Dopo il primo caso emerso un paio di settimane fa, la backdoor di Fortinet aumenta di dimensioni e ingloba nuovi apparati: l’origine del problema continua a essere una conseguenza “non intenzionale” di una funzionalità legittima, spiega la società, ma agli attaccanti la cosa interessa poco quando si tratta di individuare le “scatole” di Internet vulnerabili che è possibile attaccare dall’esterno.
La backdoor originale è stata individuata in versioni specifiche di FortiOS e permette di aprire una sessione SSH da remoto tramite una stringa codificata nel firmware, e ulteriori indagini condotte internamente hanno identificato la stessa vulnerabilità anche nelle ROM dei prodotti FortiAnalyzer, FortiSwitch e FortiCache.
Nel rilasciare aggiornamenti software specifici, Fortinet definisce la stringa codificata come una funzionalità progettata per garantire accesso facile e veloce agli apparati da parte del personale di supporto della società. In ogni caso, spiega, non si tratta in alcun modo di una “backdoor malevola” implementata per permettere l’accesso a utenti non autorizzati.
Quale che sia la giustificazione adottata da Fortinet, la backdoor esiste ed è già entrata nel mirino dei professionisti dell’hacking e (peggio ancora) del cyber-crimine: secondo le analisi del SANS Internet Storm Center e degli input da parte dei professionisti dell’ infosec , da due IP cinesi (124.160.116.194 e 183.131.19.18) sono già partite le scansioni su Internet alla caccia degli apparati Fortinet vulnerabili.
Alfonso Maruccia
Ti potrebbe interessare
26 gen 2016