„magiczny” backdoor w SSL VPN od Fortigate: można zmieniać hasło każdemu użytkownikowi. Można również czytać hasła userów w plaintext. Bonus: zdalny dostęp na root na appliance.

10 sierpnia 2019, 16:36 | Aktualności | komentarzy 5
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Super prezentacja o hackowaniu SSLVPN-ów tutaj. W tym miejscu z kolei garść podatności SSLVPN od Fortigate. Co my tu mamy?

  1. Czytanie dowolnych plików bez uwierzytelnienia (CVE-2018-13379: Pre-auth arbitrary file reading). Jest to dość „ostra podatność” – zobaczcie np. tutaj możliwość pobrania loginu i hasła (w formie jawnej) zalogowanego użytkownika:

    Czytanie plików z Fortigate SSL VPN

  2. Podatność buffer overflow bez uwierzytelnienia: CVE-2018-13381: Pre-auth heap overflow
  3. Możliwość zmiany hasła dowolnemu użytkownikowi bez uwierzytelnienia: CVE-2018-13382: The magic backdoor
    Tutaj wystarczy znać tylko pewien zahardkodowany w firmware „magiczny” ciąg znaków:
    >> On the login page, we found a special parameter called magic. Once the parameter meets a hardcoded string, we can modify any user’s password. <<
  4. Dostęp na system operacyjny (root). W tym przypadku potrzebne jest uwierzytelnienie (ale patrz punkt 1. lub 3). Badacze wykorzystują dodatkową podatność klasy heap overflow (CVE-2018-13383: Post-auth heap overflow). Parę chwil i jest pełen zdalny dostęp na roota na urządzeniu:

Podatności zostały załatane w firmware-ach: FortiOS 5.4.11, 5.6.9, 6.0.5, 6.2.0

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. ftnt
    Odpowiedz
  2. Maruda

    A jak się ma załatanie tego problemu dla np. FGT 20 i innych dla których firmware kończy się na 5.2.14 ?
    Fortinet pozostawia tę podatność niezałataną ?

    Odpowiedz
  3. Rox

    Należy nadmienić, że Fortinet łatając te podatności w 5.6.9 i 5.6.10 rozwalił autentykację opartą o grupy LDAP. Dziurawe 5.6.8 jest jedynym działającym firmware z gałęzi 5.6. Brawo Forti, jesteście debest!

    Odpowiedz
  4. sandalarz

    Nie wiem jak wy ale mi sie nie wydaje ze to podatnosc tylko feature dla wybranych 3 literowych służb

    Odpowiedz

Odpowiedz