„magiczny” backdoor w SSL VPN od Fortigate: można zmieniać hasło każdemu użytkownikowi. Można również czytać hasła userów w plaintext. Bonus: zdalny dostęp na root na appliance.

10 sierpnia 2019, 16:36 | Aktualności | komentarzy 9
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Super prezentacja o hackowaniu SSLVPN-ów tutaj. W tym miejscu z kolei garść podatności SSLVPN od Fortigate. Co my tu mamy?

  1. Czytanie dowolnych plików bez uwierzytelnienia (CVE-2018-13379: Pre-auth arbitrary file reading). Jest to dość „ostra podatność” – zobaczcie np. tutaj możliwość pobrania loginu i hasła (w formie jawnej) zalogowanego użytkownika:

    Czytanie plików z Fortigate SSL VPN

  2. Podatność buffer overflow bez uwierzytelnienia: CVE-2018-13381: Pre-auth heap overflow
  3. Możliwość zmiany hasła dowolnemu użytkownikowi bez uwierzytelnienia: CVE-2018-13382: The magic backdoor
    Tutaj wystarczy znać tylko pewien zahardkodowany w firmware „magiczny” ciąg znaków:
    >> On the login page, we found a special parameter called magic. Once the parameter meets a hardcoded string, we can modify any user’s password. <<
  4. Dostęp na system operacyjny (root). W tym przypadku potrzebne jest uwierzytelnienie (ale patrz punkt 1. lub 3). Badacze wykorzystują dodatkową podatność klasy heap overflow (CVE-2018-13383: Post-auth heap overflow). Parę chwil i jest pełen zdalny dostęp na roota na urządzeniu:

Podatności zostały załatane w firmware-ach: FortiOS 5.4.11, 5.6.9, 6.0.5, 6.2.0

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. ftnt
    Odpowiedz
  2. Maruda

    A jak się ma załatanie tego problemu dla np. FGT 20 i innych dla których firmware kończy się na 5.2.14 ?
    Fortinet pozostawia tę podatność niezałataną ?

    Odpowiedz
    • Artur

      FGT 20C jest end-of-support. Był czas na jego wymianę w ramach TradeUp program. Na chwilę obecną można pokusić się o zakup nowego, wspieranego FG-30E w promocyjnej cenie.

      Odpowiedz
  3. Rox

    Należy nadmienić, że Fortinet łatając te podatności w 5.6.9 i 5.6.10 rozwalił autentykację opartą o grupy LDAP. Dziurawe 5.6.8 jest jedynym działającym firmware z gałęzi 5.6. Brawo Forti, jesteście debest!

    Odpowiedz
    • Marek

      Dokładnie! Ten sam problem. Po upgrade do 5.6.9 nie działają remote ldap grupy dla polityk sslvpn. Support milczy choć przyznał mi rację na zdalnej sesji. Na ten moment wyłączenie portalu jest pewnego rodzaju obejściem na tą podatność…

      Odpowiedz
  4. sandalarz

    Nie wiem jak wy ale mi sie nie wydaje ze to podatnosc tylko feature dla wybranych 3 literowych służb

    Odpowiedz
    • robcik

      też mam takie nieodparte wrażenie… bo skoro ktoś stworzył „special parameter called magic” do zmiany haseł userów…

      Odpowiedz
  5. tester

    Bylem na tej prezentacji na BH…szybko wyszedl exploit :)

    Odpowiedz

Odpowiedz na Maruda