WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Dễ tìm thấy SSH Key cố định trong các thiết bị FortiSIEM
Khóa công khai SSH đã được mã hóa cố định (hardcoded SSH key) trong thiết bị quản lý và bảo mật thông tin FortiSIEM của Fortinet có thể bị lợi dụng để truy cập vào trình giám sát FortiSIEM.
Khóa SSH mã hóa cố định được sử dụng cho quản trị viên sử dụng giao thức tunneling (tunneluser), có sự tương đồng giữa việc cài đặt và lưu trữ không mã hóa trong bộ nhớ FortiSIEM. Do đó, kẻ tấn công có thể lấy khóa để đăng nhập vào Trình giám sát FortiSIEM mà không cần xác thực.
Trong khi shell của người dùng bị giới hạn thực thi lệnh/opt /phoenix /phscripts/bin /tunnelshell, vẫn có thể xác thực SSH thành công, Chuyên gia Andrew Klaus thuộc Cybera Inc giải thích.
Lỗi, CVE-2019-17659, có thể dẫn đến từ chối dịch vụ, Fortinet lưu ý trong một khuyến cáo của hãng.
Fortinet cũng giải thích rằng tunneluser chỉ thực thi trong một shell bị giới hạn, sẽ chỉ có thể tạo các kết nối tunneling từ trình giám sát đến IP gốc.
Như vậy, có khả năng kích hoạt các kết nối ngược tới IP đã khởi tạo kết nối. Theo Fortinet, tính năng cho phép kết nối từ trình giám sát đến trình thu thập (collector) khi có tường lửa giữa 2 trình.
Fortinet khuyến cáo không sử dụng tính năng tunneling ngược để vô hiệu hóa SSH trên cổng 19999. Hãng cũng cung cấp các bước để xóa các khóa được liên kết với tài khoản tunneluser trên trình giám sát.
Ngoài ra, Fortinet khuyến cáo vô hiệu hóa quyền truy cập SSH của tunneluser trên cổng 22.
Theo chuyên gia Klaus, quản trị viên nên loại bỏ hoặc xóa tệp /home/tunneluser/.ssh/authorized_keys đồng thời đảm bảo các nút phía sau tường lửa chỉ có quyền truy cập đáng tin cậy vào các cổng.
Lỗi được tiết lộ công khai đầu tháng 1, ảnh hưởng đến phiên bản FortiSIEM 5.2.6 trở xuống và đã được giải quyết vào tuần trước thông qua phát hành phiên bản FortiSIEM 5.2.7.
Khóa SSH mã hóa cố định được sử dụng cho quản trị viên sử dụng giao thức tunneling (tunneluser), có sự tương đồng giữa việc cài đặt và lưu trữ không mã hóa trong bộ nhớ FortiSIEM. Do đó, kẻ tấn công có thể lấy khóa để đăng nhập vào Trình giám sát FortiSIEM mà không cần xác thực.
Trong khi shell của người dùng bị giới hạn thực thi lệnh/opt /phoenix /phscripts/bin /tunnelshell, vẫn có thể xác thực SSH thành công, Chuyên gia Andrew Klaus thuộc Cybera Inc giải thích.
Lỗi, CVE-2019-17659, có thể dẫn đến từ chối dịch vụ, Fortinet lưu ý trong một khuyến cáo của hãng.
Fortinet cũng giải thích rằng tunneluser chỉ thực thi trong một shell bị giới hạn, sẽ chỉ có thể tạo các kết nối tunneling từ trình giám sát đến IP gốc.
Như vậy, có khả năng kích hoạt các kết nối ngược tới IP đã khởi tạo kết nối. Theo Fortinet, tính năng cho phép kết nối từ trình giám sát đến trình thu thập (collector) khi có tường lửa giữa 2 trình.
Fortinet khuyến cáo không sử dụng tính năng tunneling ngược để vô hiệu hóa SSH trên cổng 19999. Hãng cũng cung cấp các bước để xóa các khóa được liên kết với tài khoản tunneluser trên trình giám sát.
Ngoài ra, Fortinet khuyến cáo vô hiệu hóa quyền truy cập SSH của tunneluser trên cổng 22.
Theo chuyên gia Klaus, quản trị viên nên loại bỏ hoặc xóa tệp /home/tunneluser/.ssh/authorized_keys đồng thời đảm bảo các nút phía sau tường lửa chỉ có quyền truy cập đáng tin cậy vào các cổng.
Lỗi được tiết lộ công khai đầu tháng 1, ảnh hưởng đến phiên bản FortiSIEM 5.2.6 trở xuống và đã được giải quyết vào tuần trước thông qua phát hành phiên bản FortiSIEM 5.2.7.
Nguồn: Security Week