Alors même que le problème de porte dérobée dans une partie des pare-feux de Juniper est encore frais, un cas similaire semble émerger chez Fortinet. Des chercheurs ont débusqué la présence d’un mot de passe codé en dur dans FortiOS, le système d’exploitation qui équipe certains produits.
La porte dérobée dans certains pare-feux de Juniper aura fait couler de l’encre, et le problème n’est pas encore complètement réglé. Bien que l’équipementier réseau ait déjà publié des mises à jour pour résoudre le souci, il faudra encore attendre plusieurs mois pour qu’il se débarrasse de deux générateurs de nombres aléatoires, dont l’un – Dual_EC – a été directement développé par la NSA. Juniper avait beau assurer que son implémentation avait été réalisée de manière sécurisée, il n’a semble-t-il pas souhaité prendre plus de risques.
Un mot de passe inscrit en dur dans le code de FortiOS
Or, alors que ce problème de porte dérobée est encore frais dans les mémoires, un souci semblable est apparu dans Fortinet. Des chercheurs ont publié les détails d’une routine d’authentification « challenge-response » (une réponse adéquate doit être fournie à la question posée), montrant qu’un mot de passe codé en dur, « FGTAbc11*xy+Qqz27 », permettant un accès universel à n’importe qui en sa possession, via le protocole SSH. L'identifiant qui l'accompagne est « Fortimanager_Access »
Le chercheur David Davidson a de son côté publié une capture montrant l’exploitation de ce qu’il décrit directement comme une porte dérobée. La capture comporte des zones masquées pour empêcher toute identification de ses sources, comme il l’indique. Ralf-Philipp Weinmann, chercheur ayant fourni de nombreux détails sur le cas Juniper, a précisé lui aussi qu’il s’agissait d’une porte dérobée, indiquant dans un tweet qu’il avait pu l’exploiter avec succès. Un script Python est même apparu sur Full Disclosure pour automatiser la procédure.
L’exploitation de la faille contre un pare-feu utilisant une version vulnérable de FortiOS permet d’obtenir les droits administrateur sur les lignes de commande. De là, il est possible d’effectuer à peu près n’importe quelle opération.
Heavily redacted (at sources request) screenshot of the #Fortinet #Fortigate #backdoor functioning. pic.twitter.com/hT5bWNe8eW
— Dr David D. Davidson (@dailydavedavids) 12 Janvier 2016
Fortinet nie la porte dérobée et toute action malveillante
Mais Fortinet n’est pas d’accord sur une telle qualification. Le constructeur a ainsi publié un message expliquant le problème : « Le problème a été résolu et une mise à jour est disponible depuis juillet 2014 […]. Il ne s’agissait pas d’un problème de porte dérobée, mais plutôt un souci de gestion de l’authentification. Il a été découvert par notre équipe Sécurité au cours d’une de leurs vérifications régulières. Après analyse consciencieuse et enquête, nous avons été en mesure de vérifier que ce problème n’était pas dû à une activité malveillante, interne ou externe ».
Le constructeur précise que toutes les versions de FortiOS depuis la 4.3.17 et la 5.0.8 sont hors de danger. La mouture la plus récente du système d’exploitation est pour information la 5.4.0.
Il manque des réponses
Il y a cependant plusieurs éléments curieux restant actuellement sans explications. Si le problème est ancien et réparé depuis longtemps, comme l’affirme Fortinet, le bulletin de sécurité lié n’est apparu qu’hier. D’autre part, un chercheur (qui a tenu à garder l’anonymat) a indiqué à Ars Technica que la faille n’était plus exploitable dans les versions récentes de FortiOS, mais qu’une « grande partie de ce mécanisme d’authentification » était « encore présente dans le firmware », y compris le mot de passe.
Autre souci : la fenêtre d’exploitation. Dans son bulletin, Fortinet indique que les versions vulnérables de son système vont de la 4.3.0 à la 4.3.16, et de la 5.0.0 à 5.0.7. Or, ces versions correspondent à une parenthèse de plus d’un an et demi, plus précisément de novembre 2012 à juillet 2014. Impossible de savoir durant cette période si cette porte dérobée, dont Fortinet nie l’existence, a été activement exploitée ou non.
En attendant d’en savoir plus, ce problème apparaît comme moins grave que dans le cas de Juniper. Les mises à jour sont en effet disponibles depuis 2014, même si la brèche reste d’actualité pour ceux qui n’auraient pas installé de nouveau firmware depuis bientôt deux ans.
Commentaires (31)
#1
Je m’en fiche, j’ai sécurisé mon appart avec Open Office. Approuvé par l’état comme meilleur pare-feu du monde.
" />
#2
Il manque CheckPoint et Cisco pour ne pas faire de jaloux !
" />
#3
Le souci des solutions comme Juniper ou Fortinet c’est qu’il faut payer la maintenance annuelle pour accéder aux MAJ si je ne me trompe pas.
Or bien souvent, les “vielles” installations qui fonctionnent pour des architectures simples passent la maintenance aux oubliettes… donc les risques demeurent.
#4
Après le JuniperGate, désormais le FortiGate ? :-)
#5
Non pour les MAJ. c’est pas obligatoire, en revanche si vous sollicitez le support le premier truc qu’il vous dira sera “mettez à jour” !
c’est plus pour les services annexes Fortiguard (IPS - AV / web filtering) / Forticloud / Fortisandbox, etc etc…
#6
Super, on a tout en fortinet dans la boîte… mais tout est à jour en 5.2
Pour eres, on paye bien une maintenance pour bénéficier des
updates de type IPS, filtres web. Pour le firmware, çà se fait sans abonnement.
#7
pareil , on à tester sur plusieurs firmware pour le moment on rentre pas.
ya ptet une manip précise j’ai pas trop chercher
#8
Si tu peux m’indiquer où trouver les derniers FW je pourrais ressortir mes vieux FG50, 60 et 100 qui dorment dans un carton.
#9
On a testé ça fonctionne, faut utiliser le script python
#10
C’est le meilleur tu risque rien !! ;)
" />
#11
De toutes façons je suis sur Mac, et c’est beaucoup trop playschool pour qu’un pirate s’y intéresse.
" />
#12
Je pensais que tu avais raison et que j’étais resté sur un vieil apriori, mais hélas non.
Une fois un compte créé, lors de l’accès aux Firmwares :
Sorry, you don’t have any product covered by Fortinet support contract.
Donc $$$ !
#13
quel script ?
#14
https://www.indiegogo.com/projects/turris-omnia-hi-performance-open-source-router#/
" />
#15
http://seclists.org/fulldisclosure/2016/Jan/26
#16
Fortinet
" /> on m’avait filé un truc de chez eux (FG60 ? 50 sais plus) à installer en stage.. et n’étant pas de la filière réseau, j’étais bien embêté 
" />
#17
C’est bien d’avoir Open Office comme pare feu mais bon si le mot de passe est sous dans le clavier
#18
J’ai pas besoin de mot de passe.
" />
#19
#20
“La mouture la plus récente du système d’exploitation est pour information la 5.4.0.“La plus buggée plutôt ? :)
Blague à part, certains ont passé la 5.2 en production ? Je n’ose pas encore…
#21
Et aussi parce quet’es trop vieux.
(parfois on ne tombe pas sur un agent du FBI…)
#22
Yes, j’ai pas eu de soucis particulier…en même temps, la version 5.0 est plus supporté officiellement depuis novembre 2015 (hors les boitiers ne pouvant pas être passé en 5.2) donc pour ouvrir un ticket sur le support, c’est passage obligé en 5.2.5 maintenant ^^
#23
On a pas de support direct Fortinet dans ma boite donc pour le moment on arrive à tenir le coup… J’attends la 5.2.6, j’ai essuyé trop de plâtres avec la 4 MR3 et la 5 à l’époque :)
#24
Perso j’ai débuté qu’en 4.3.8, je touche du bois, j’ai jamais eu de grosses saucisses ^^
Pour le support, tu peux avoir accès à celui d’exclusive networks pour la france pour peu que tu sois revendeur “officiel”.
Il me semble que pour le support chez fortinet direct, ça ne pose pas de souci du moment que tu as des boitiers rattachés à ton compte (celui où sont rattachés les licences pour les UTM), t’as juste à préciser le serial du boitier et c’est accepté ;)
#25
Allez go go bo bo … on continue, on bouffe de l’US, c’est pour notre bien
" />
Continuons c’est bon.
Windows, Mac os x, Android, ios : mangez-en c’est bon pour vous.
#26
ah les, médias main stream toujours un wagon de retard ….
Actuellement en point on est ici :
http://www.industrie-techno.com/la-mecanique-quantique-avenir-de-l-informatique….
#27
Au taf on fournissait que du Fortinet mais on est en train de migrer en Cyberoam de chez Sophos apparement. Je ne sais pas si certains d’entre vous connaisse les produits mais je serai ravi d’un retour ;)
" />
Edit : Apparement non ce n’est pas Sophos … c’est Indien
#28
Après, laisser un accès SSH depuis l’extérieur sur son firewall… moi je dis ça je dis rien …
#29
Et pfSense ?:p
#30
C’est clair que vas-y pour hacker mes cubes en bois. Dans ma jeunesse on était content quand on avait une orange à Noël. Aujourd’hui on est content quand on a un forfait Orange (et la tablette qui va avec).
" />
#31
J’ai renouvelé mon FW Netasq par un Stormshield … je reste chez eux. (en espérant qu’il n y ait jamais de porte dérobée ;) )