Fortinet, la backdoor si spalanca

L'azienda allarga l'indagine interna e identifica nuovi prodotti vulnerabili, mentre dall'esterno ignoti indirizzi IP cinesi si sono già attivati per scovare gli apparati di rete attaccabili
L'azienda allarga l'indagine interna e identifica nuovi prodotti vulnerabili, mentre dall'esterno ignoti indirizzi IP cinesi si sono già attivati per scovare gli apparati di rete attaccabili

Dopo il primo caso emerso un paio di settimane fa, la backdoor di Fortinet aumenta di dimensioni e ingloba nuovi apparati: l’origine del problema continua a essere una conseguenza “non intenzionale” di una funzionalità legittima, spiega la società, ma agli attaccanti la cosa interessa poco quando si tratta di individuare le “scatole” di Internet vulnerabili che è possibile attaccare dall’esterno.

La backdoor originale è stata individuata in versioni specifiche di FortiOS e permette di aprire una sessione SSH da remoto tramite una stringa codificata nel firmware, e ulteriori indagini condotte internamente hanno identificato la stessa vulnerabilità anche nelle ROM dei prodotti FortiAnalyzer, FortiSwitch e FortiCache.

Nel rilasciare aggiornamenti software specifici, Fortinet definisce la stringa codificata come una funzionalità progettata per garantire accesso facile e veloce agli apparati da parte del personale di supporto della società. In ogni caso, spiega, non si tratta in alcun modo di una “backdoor malevola” implementata per permettere l’accesso a utenti non autorizzati.

Quale che sia la giustificazione adottata da Fortinet, la backdoor esiste ed è già entrata nel mirino dei professionisti dell’hacking e (peggio ancora) del cyber-crimine: secondo le analisi del SANS Internet Storm Center e degli input da parte dei professionisti dell’ infosec , da due IP cinesi (124.160.116.194 e 183.131.19.18) sono già partite le scansioni su Internet alla caccia degli apparati Fortinet vulnerabili.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

26 01 2016
Link copiato negli appunti