DiarioTi.com - el diario del profesional TI

Lunes 5 Dic 2016 | Año 14 | Edición 4464
Menu
letter
    

    Detectan nuevos productos de Fortinet con puerta trasera SSH

    La puerta trasera, o “funcionalidad” como lo denomina la propia empresa, está siendo escaneada desde China para intentos de acceso no autorizado.

    Diario TI 26/01/16 11:10:32

    Varios productos de la empresa estadounidense Fortinet tienen instalada de fábrica una cuenta SSH no documentada para acceso remoto, dotada de una contraseña que el propio cliente no puede modificar.

    La lista de productos afectados ha aumentado como resultado de una investigación realizada por la empresa, incluido un análisis de todo su código fuente. La conclusión es que varias versiones de Fortiswitch, Fortianalyzer y Forticache también estarían afectadas, por lo que presentan el riesgo de acceso no autorizado.

    En una explicación publicada en su blog oficial, la empresa reitera su versión original, en el sentido que esta cuenta indocumentada no es un intento de intrusión intencional, y en ningún caso una acción maliciosa.

    “Como hemos dicho anteriormente, esta vulnerabilidad es una consecuencia involuntaria de una función diseñada con la intención de proveer a un Fortimanager autorizado acceso expedito a los dispositivos Fortigate. Es importante tener presente que no se trata de una puerta trasera implementada con el fin de obtener acceso no autorizado”, escribe Fortinet en su blog oficial.

    La empresa recomienda a los usuarios actualizar el firmware de los equipos afectados, que afectaría a las siguientes unidades y versiones:

    • Fortianalyser versiones 5.0.5 hasta 5.0.11 og 5.2.0 hasta 5.2.4 (la serie 4.3 no está afectada)
    • Fortiswitch versiones desde 3.0.0 hasta 3.3.2
    • Forticache versiones 3.0.0 hasta 3.0.7 (la serie 3.1 no está afectada)
    • FortiOS versiones desde 4.1.0 hasta 4.1.10
    • FortiOS versiones desde 4.2.0 hasta 4.2.15
    • FortiOS versiones desde 5.0.0 hasta 5.0.7

    Escaneo desde China

    Expertos en seguridad informática del Instituto SANS han documentado un incremento en los intentos de escaneo de puertos, donde intrusos intentan identificar, y eventualmente acceder a aparatos Fortinet vulnerables.

    Este procedimiento en sí es sobremanera sencillo, debido a que el nombre de usuario de la cuenta afectada, como asimismo la contraseña para la cuenta SSH circulan libremente por Internet.

    Según SANS, la mayor parte del escaneo ha sido realizado desde dos direcciones IP chinas. “Si usted aún no instala las actualizaciones de seguridad, protegiendo sus dispositivos con un cortafuegos, hay grandes posibilidades de que los aparatos ya han sido escaneados, y posiblemente intervenidos”.

    En uno de los foros dedicados al tema, un usuario ironiza: “el acceso SSH abierto, con un nombre de usuario y contraseña conocidos, difícilmente puede ser llamado puerta trasera, sino más bien una entrada principal abierta de par en par”.

     -

    Imagen: Fortinet FortiGate 3810A por Dennis van Zuijlekom vía Flickr (con licencia Creative Commons)

          • Seleccione su país -+

            Diario TI utiliza una plataforma GeoIP que automáticamente intenta detectar el país desde donde usted se conecta, para así presentarle contenidos regionales. Sin embargo, si la detección automática no es posible, usted puede seleccionar manualmente su país.