Alert!

Fortinet entfernt SSH-Backdoor aus Security-Management-Lösung FortiSIEM

Wer noch immer eine FortiSIEM-Version bis inklusive 5.2.6 nutzt, sollte spätestens jetzt upgraden: Eine Schwachstelle erlaubt(e) Denial-of-Service-Angriffe.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 22 Beiträge

(Bild: JARIRIYAWAT/Shutterstock.com)

Von

Der IT-Sicherheitssoftware-Hersteller Fortinet hat einen statisch und zudem unverschlüsselt hinterlegten SSH-Key aus dem Programmcode seiner Security-Management-Software FortiSIEM beseitigt. Die Abkürzung SIEM steht für "Security Information and Event Management" und bezeichnet Werkzeuge zur automatisierten Echtzeitanalyse sicherheitsrelevanter Daten zur Erkennung von Angriffen.

Wie einem Security Advisory des Herstellers zu entnehmen ist, hätten Angreifer den Key für den SSH-Account "tunneluser" aus dem Code einer beliebigen FortiSIEM-Installation oder einem Firmware-Image extrahieren können. Anschließend hätten sie ihn missbrauchen können, um sich ohne vorherige Authentifizierung als so genannter "Collector" mit einem FortiSIEM-"Supervisor" zu verbinden und auf diesem Wege Denial-of-Service-Angriffe durchzuführen. Als verwundbar nennt Fortinet alle FortiSIEM-Versionen bis einschließlich 5.2.6.

Der Schwachstelle wurde die CVE-Nummer CVE-2019-17659 zugeordnet.

Wie der FortiSIEM-Dokumentation zu entnehmen ist, sammeln "Collector"-Knoten sicherheitsrelevante Daten, während "Supervisor"-Knoten (hinter einer Firewall) im Data Center die Datenanalyse übernehmen. Der Account "tunneluser" soll dem Hypervisor die Möglichkeit geben, trotz Firewall mit dem Collector zu kommunizieren – und zwar mittels einer Reverse-Shell-Verbindung, die der Collector initiiert.

Zwar schätzt Fortinet selbst das Sicherheitsrisiko – wohl aufgrund der beschränkten Zugriffsmöglichkeiten auf den Supervisor durch den Angreifer/Collector – als gering ein. Allerdings sollte eine Schwachstelle in Software zur Gefahrenabwehr grundsätzlich sehr ernst genommen werden, zumal Denial-of-Service-Angriffe ein SIEM schlimmstenfalls aushebeln könnten.

Dementsprechend ist es ratsam, möglichst zeitnah ein Upgrade auf FortiSIEM ab 5.2.7 aufwärts vorzunehmen.

Fortinet rät Kunden, die das Reverse-Tunnel-Feature nicht nutzen, es zu deaktivieren. Wie das geht, ist dem Security Advisory zu entnehmen.

Update 28.01.20, 18:52:

Das Upgrade auf FortiSIEM 5.2.7 behebt (je nach zuvor verwendeter Version) indirekt noch eine ganz ähnlich gelagerte Schwachstelle (CVE-2019-16153) in Gestalt hardgecodeter Zugangsdaten zu FortiSIEMs Datenbank-Komponente. Diese Zugangsdaten wurden laut dem entsprechenden Security Advisory allerdings schon mit Version 5.2.6 aus der Software entfernt, so dass CVE-2019-16153 "nur" FortiSIEM bis einschließlich 5.2.5 betrifft. (ovw)