Dopo il clamore suscitato dal caso Juniper , una nuova, presunta “backdoor” è stata individuata dai ricercatori nei firewall di rete sviluppati da Fortinet e basati su FortiOS. Il sistema contiene una password codificata al suo interno sempre valida, denunciano i ricercatori con tanto di exploit , e tale password può essere utilizzata per accedere da remoto ai firewall vulnerabili.
Avendo a che fare con la giusta versione di FortiOS, la stringa contenuta all’interno del sistema (“FGTAbc11*xy+Qqz27”) può servire ad aprire una sessione di accesso remoto (SSH). Su Twitter un ricercatore ha anche postato uno screenshot auto-esplicativo per dimostrare l’efficacia dell’exploit e della password integrata.
Heavily redacted (at sources request) screenshot of the #Fortinet #Fortigate #backdoor functioning. pic.twitter.com/hT5bWNe8eW
– Dr David D. Davidson (@dailydavedavids) 12 Gennaio 2016
Per i ricercatori si tratta dell’ennesima backdoor segreta scovata negli apparati di rete più popolari, ma Fortinet ha ufficialmente negato questa versione con una breve dichiarazione ufficiale : il problema che ora viene alla ribalta era stato individuato e corretto già nel luglio 2014, e nessun soggetto “esterno” all’azienda – diversamente dal caso Juniper – può essere considerato responsabile dell’accaduto.
Il codice dell’exploit funziona sulle versioni di FortiOS comprese tra la 4.3 e la 5.0.7, mentre la release 5.2.3 (o anche la più recente 5.4.0) risulterebbe immune pur continuando a includere la password codificata. Nella migliore delle ipotesi , dicono gli esperti, i firewall Fortinet sarebbero stati vulnerabili in una lunga finestra temporale compresa fra il 2013 e il 2014.
Alfonso Maruccia
Ti potrebbe interessare
14 gen 2016