北京师范大学网络与信息安全服务平台
   
当前位置: 首页 » 漏洞公告
关于Fortigate防火墙存在SSH认证“后门”漏洞的安全公告
发布时间: 2017-04-19  

 

        近日,国家信息安全漏洞共享平台(CNVD)收录了Fortigate防火墙存在的SSH认证后门漏洞(CNVD-2016-00170)。远程攻击者可利用通过后门获取Fortigate防火墙系统的控制权限,进而渗透到内部网络区域,构成信息泄露和运行安全风险。
      一、漏洞情况分析
        FortiGate(飞塔防火墙)Fortinet(飞塔)公司推出的网络防火墙产品,用于防御网络层和内容层的网络和恶意代码等攻击。根据境外研究者的分析以及相关验证情况,业内认定FortiGate防火墙存在一处后门漏洞,漏洞形成的原因是由于FortiGate防火墙Fortimanager_Access用户的密码采用较为简单的算法来生成,攻击者通过分析破解后可直接获得认证的最高权限(root)权限,进而控制防火墙设备,后续攻击者可通过防火墙作为跳板,渗透内部区域网络,进行信息嗅探、数据拦截等操作。CNVD对该漏洞的综合评级为高危
        近日,Fortinet(飞塔)公司发布声明称这是一个2014年就被内部安全审查发现的问题,属于管理协议的bug而不是主观故意的后门,并且暂未接收到用户报告称设备在互联网被黑客攻击。
      二、漏洞影响范围
        漏洞影响4.3.0 - 4.3.165.0.0 - 5.0.7版本,而 5.2 -5.4版本不受影响。根据CNVD初步普查的结果,互联网上约有1.5万台Fortigate服务器暴露出来,其中位于中国大陆地区的服务器约730台,占比为4.7%。占比较多的国家和地区分别为美国 (占比20.7%)、印度(占比12.5)、日本(占比5.7%)、韩国(占比4.4%)、中国台湾(占比4.0%),总体上看,该漏洞对北美、东亚、东南亚、南亚地区的影响较为严重。目前该算法破解的攻击利用代码已经在互联网上传播,预计近期将出现大量针对Fortigate防火墙的攻击。
         三、漏洞修复建议
        目前,厂商已发布了漏洞解决方案:将4.3.x升级至4.3.17或更高版本,将5.0.x版本升级至5.0.8或更高版本,或可采取以下临时措施:
        在所有接口上关闭SSH管理,只用Web GUI替代,或使用GUI上的console组件进行CLI接入;如果SSH访问必须要进行,在5.0版本可以强制SSH访问只允许授权的IP地址访问,通过本地策略进行配置。
       附:参考链接:
        http://www.cnvd.org.cn/flaw/show/ CNVD-2016-00170
 

 
北京师范大学网络与信息安全服务平台