Alors même que le problème de porte dérobée dans une partie des pare-feux de Juniper est encore frais, un cas similaire semble émerger chez Fortinet. Des chercheurs ont débusqué la présence d’un mot de passe codé en dur dans FortiOS, le système d’exploitation qui équipe certains produits.
La porte dérobée dans certains pare-feux de Juniper aura fait couler de l’encre, et le problème n’est pas encore complètement réglé. Bien que l’équipementier réseau ait déjà publié des mises à jour pour résoudre le souci, il faudra encore attendre plusieurs mois pour qu’il se débarrasse de deux générateurs de nombres aléatoires, dont l’un – Dual_EC – a été directement développé par la NSA. Juniper avait beau assurer que son implémentation avait été réalisée de manière sécurisée, il n’a semble-t-il pas souhaité prendre plus de risques.
Un mot de passe inscrit en dur dans le code de FortiOS
Or, alors que ce problème de porte dérobée est encore frais dans les mémoires, un souci semblable est apparu dans Fortinet. Des chercheurs ont publié les détails d’une routine d’authentification « challenge-response » (une réponse adéquate doit être fournie à la question posée), montrant qu’un mot de passe codé en dur, « FGTAbc11*xy+Qqz27 », permettant un accès universel à n’importe qui en sa possession, via le protocole SSH. L'identifiant qui l'accompagne est « Fortimanager_Access »
Le chercheur David Davidson a de son côté publié une capture montrant l’exploitation de ce qu’il décrit directement comme une porte dérobée. La capture comporte des zones masquées pour empêcher toute identification de ses sources, comme il l’indique. Ralf-Philipp Weinmann, chercheur ayant fourni de nombreux détails sur le cas Juniper, a précisé lui aussi qu’il s’agissait d’une porte dérobée, indiquant dans un tweet qu’il avait pu l’exploiter avec succès. Un script Python est même apparu sur Full Disclosure pour automatiser la procédure.
L’exploitation de la faille contre un pare-feu utilisant une version vulnérable de FortiOS permet d’obtenir les droits administrateur sur les lignes de commande. De là, il est possible d’effectuer à peu près n’importe quelle opération.
Heavily redacted (at sources request) screenshot of the #Fortinet #Fortigate #backdoor functioning. pic.twitter.com/hT5bWNe8eW
— Dr David D. Davidson (@dailydavedavids) 12 Janvier 2016
Fortinet nie la porte dérobée et toute action malveillante
Mais Fortinet n’est pas d’accord sur une telle qualification. Le constructeur a ainsi publié un message expliquant le problème : « Le problème a été résolu et une mise à jour est disponible depuis juillet 2014 […]. Il ne s’agissait pas d’un problème de porte dérobée, mais plutôt un souci de gestion de l’authentification. Il a été découvert par notre équipe Sécurité au cours d’une de leurs vérifications régulières. Après analyse consciencieuse et enquête, nous avons été en mesure de vérifier que ce problème n’était pas dû à une activité malveillante, interne ou externe ».
Le constructeur précise que toutes les versions de FortiOS depuis la 4.3.17 et la 5.0.8 sont hors de danger. La mouture la plus récente du système d’exploitation est pour information la 5.4.0.
Il manque des réponses
Il y a cependant plusieurs éléments curieux restant actuellement sans explications. Si le problème est ancien et réparé depuis longtemps, comme l’affirme Fortinet, le bulletin de sécurité lié n’est apparu qu’hier. D’autre part, un chercheur (qui a tenu à garder l’anonymat) a indiqué à Ars Technica que la faille n’était plus exploitable dans les versions récentes de FortiOS, mais qu’une « grande partie de ce mécanisme d’authentification » était « encore présente dans le firmware », y compris le mot de passe.
Autre souci : la fenêtre d’exploitation. Dans son bulletin, Fortinet indique que les versions vulnérables de son système vont de la 4.3.0 à la 4.3.16, et de la 5.0.0 à 5.0.7. Or, ces versions correspondent à une parenthèse de plus d’un an et demi, plus précisément de novembre 2012 à juillet 2014. Impossible de savoir durant cette période si cette porte dérobée, dont Fortinet nie l’existence, a été activement exploitée ou non.
En attendant d’en savoir plus, ce problème apparaît comme moins grave que dans le cas de Juniper. Les mises à jour sont en effet disponibles depuis 2014, même si la brèche reste d’actualité pour ceux qui n’auraient pas installé de nouveau firmware depuis bientôt deux ans.
