La lista Full Disclosure publicó durante el fin de semana un script Python totalmente funcional, que habilitaría el acceso a cortafuegos de Fortinet mediante una cuenta, no documentada, de acceso remoto vía Secure Shell (SSH). El acceso sería posible mediante una contraseña instalada de fábrica. Todos los datos de acceso ya están públicamente disponibles en Internet.
Alto riesgo
Según una notificación de seguridad publicada por la propia Fortinet el 12 de enero, los productos afectados operan con el sistema operativo FortiOS, en sus versiones 4.3.0 a 4.3.16 y las versiones 5.0.0 a 6.0.7. En la notificación se indica que el nivel de riesgo para los usuarios es alto.
En una declaración pública, también publicada el 12 de enero, la empresa asegura que no se trata de una puerta trasera, sino de un problema de autenticación: “Después de haber realizado un cuidadoso análisis e investigación, pudimos constatar que la incidencia no se debió a actividad maligna, interna o externa”.
El acceso indocumentado a la cuenta SSH es descrito como “la situación que recientemente fue hecha del conocimiento público”, agregando que “la incidencia fue solucionada con un parche de seguridad distribuido en julio de 2014, como parte del compromiso de Fortinet por asegurar la calidad e integridad de nuestro código”.
Código sospechoso en versiones recientes
Expertos en seguridad informática consultados por la publicación Ars Technica señalan que no ha sido posible encontrar notificaciones que describan este riesgo de seguridad, basado en una forma indocumentada y alternativa de inicio de sesiones, ni tampoco la forma de eliminarlo. “A pesar de que la actualización habría eliminado la posibilidad de acceder a la cuenta vía SSH, las nuevas versiones de FortiOS contienen el código sospechoso en su firmware”, declaró a la publicación un experto en seguridad informática, no identificado.
