关于Fortigate防火墙存在SSH认证“后门”漏洞的安全公告

2016-01-13 14:50:26

安全公告编号:CNTA-2016-0002

近日,国家信息安全漏洞共享平台(CNVD)收录了Fortigate防火墙存在SSH认证“后门”漏洞(CNVD-2016-00170)。远程攻击者可通过“后门”获取Fortigate防火墙系统的控制权限,进而渗透到内部网络区域,构成信息泄露和运行安全风险。

一、漏洞情况分析

FortiGate(飞塔防火墙)是Fortinet(飞塔)公司推出的网络防火墙产品,用于防御网络层和内容层的网络和恶意代码等攻击。根据境外研究者的分析以及相关验证情况,业内认定FortiGate防火墙存在一处“后门”漏洞,漏洞形成的原因是由于FortiGate防火墙Fortimanager_Access用户的密码采用较为简单的算法来生成,攻击者通过分析破解后可直接获得认证的最高权限(root)权限,进而控制防火墙设备,后续攻击者可通过防火墙作为跳板,渗透内部区域网络,进行信息嗅探、数据拦截等操作。CNVD对该漏洞的综合评级为“高危”。

近日,Fortinet(飞塔)公司发布声明称这是一个2014年就被内部安全审查发现的问题,属于管理协议的bug而不是主观故意的“后门”,并且暂未接收到用户报告称设备在互联网被黑客攻击。

二、漏洞影响范围

漏洞影响4.3.0 - 4.3.16,5.0.0 - 5.0.7版本,而 5.2 -5.4版本不受影响。根据CNVD初步普查的结果,互联网上约有1.5万台Fortigate服务器暴露出来,其中位于中国大陆地区的服务器约730台,占比为4.7%。国家和地区分别为美国 (占比20.7%)、印度(占比12.5)、日本(占比5.7%)、韩国(占比4.4%)、中国台湾(占比4.0%),总体上看,该漏洞对北美、东亚、东南亚、南亚地区的影响较为严重。目前该算法破解的攻击利用代码已经在互联网上传播,预计近期将出现大量针对Fortigate防火墙的攻击。

三、漏洞修复建议

目前,厂商已发布了漏洞解决方案:将4.3.x升级至4.3.17或更高版本,将5.0.x版本升级至5.0.8或更高版本,或可采取以下临时措施:

在所有接口上关闭SSH管理,只用Web GUI替代,或使用GUI上的console组件进行CLI接入;如果SSH访问必须要进行,在5.0版本可以强制SSH访问只允许授权的IP地址访问,通过本地策略进行配置。

附:参考链接:

http://www.fortiguard.com/advisory/fortios-ssh-undocumented-interactive-login-vulnerability

http://seclists.org/fulldisclosure/2016/Jan/26

http://www.cnvd.org.cn/flaw/show/CNVD-2016-00170