Varios productos de la empresa estadounidense Fortinet tienen instalada de fábrica una cuenta SSH no documentada para acceso remoto, dotada de una contraseña que el propio cliente no puede modificar.
La lista de productos afectados ha aumentado como resultado de una investigación realizada por la empresa, incluido un análisis de todo su código fuente. La conclusión es que varias versiones de Fortiswitch, Fortianalyzer y Forticache también estarían afectadas, por lo que presentan el riesgo de acceso no autorizado.
En una explicación publicada en su blog oficial, la empresa reitera su versión original, en el sentido que esta cuenta indocumentada no es un intento de intrusión intencional, y en ningún caso una acción maliciosa.
“Como hemos dicho anteriormente, esta vulnerabilidad es una consecuencia involuntaria de una función diseñada con la intención de proveer a un Fortimanager autorizado acceso expedito a los dispositivos Fortigate. Es importante tener presente que no se trata de una puerta trasera implementada con el fin de obtener acceso no autorizado”, escribe Fortinet en su blog oficial.
La empresa recomienda a los usuarios actualizar el firmware de los equipos afectados, que afectaría a las siguientes unidades y versiones:
• Fortianalyser versiones 5.0.5 hasta 5.0.11 og 5.2.0 hasta 5.2.4 (la serie 4.3 no está afectada)
• Fortiswitch versiones desde 3.0.0 hasta 3.3.2
• Forticache versiones 3.0.0 hasta 3.0.7 (la serie 3.1 no está afectada)
• FortiOS versiones desde 4.1.0 hasta 4.1.10
• FortiOS versiones desde 4.2.0 hasta 4.2.15
• FortiOS versiones desde 5.0.0 hasta 5.0.7
Escaneo desde China
Expertos en seguridad informática del Instituto SANS han documentado un incremento en los intentos de escaneo de puertos, donde intrusos intentan identificar, y eventualmente acceder a aparatos Fortinet vulnerables.
Este procedimiento en sí es sobremanera sencillo, debido a que el nombre de usuario de la cuenta afectada, como asimismo la contraseña para la cuenta SSH circulan libremente por Internet.
Según SANS, la mayor parte del escaneo ha sido realizado desde dos direcciones IP chinas. “Si usted aún no instala las actualizaciones de seguridad, protegiendo sus dispositivos con un cortafuegos, hay grandes posibilidades de que los aparatos ya han sido escaneados, y posiblemente intervenidos”.
En uno de los foros dedicados al tema, un usuario ironiza: “el acceso SSH abierto, con un nombre de usuario y contraseña conocidos, difícilmente puede ser llamado puerta trasera, sino más bien una entrada principal abierta de par en par”.