Backdoor SSH no Fortigate

Depois do backdoor dos firewalls Juniper, a bola da vez é o Fortigate.

[Atualizado em 01/02/16] – O backdoor foi confirmado pela própria Fortigate, que o chamou de “problema de gerenciamento de autorização”. Além do FortiGate, outros produtos como o FortiSwitch também foram afetados.

Conforme discussão no Reddit, um backdoor SSH foi descoberto nos firewalls da Fortinet rodando o Fortigate OS nas versões 4.x até 5.0.7. A prova de conceito pode estar disponível aqui, embora não seja o mesmo script que pode ter sido utilizado na captura de tela abaixo.

O backdoor não funcionaria nas versões 5.0.8 e posterior. As versões vulneráveis seriam de 2014. Infelizmente nem todas as organizações possuem processos estruturados para lidar com atualizações de software de appliances de rede, de forma que é provável que sejam encontradas diversas caixas vulneráveis por aí.

Se você usa Fortigate, é bom dar uma conferida qual versão do OS ele está rodando.