В решении FortiSIEM обнаружен встроенный SSH-ключ

Специалист из компании Cybera Эндрю Клаус (Andrew Klaus) обнаружил встроенный открытый SSH-ключ в решении Fortinet Security Information and Event Management (FortiSIEM) для управления инцидентами и событиями для обеспечения безопасности от компании Fortinet, который может использоваться злоумышленниками для авторизации в системе FortiSIEM Supervisor.

«FortiSIEM содержит встроенный открытый SSH-ключ для пользователя «tunneluser», который одинаков для всех установок. Злоумышленник с данным ключом может успешно пройти аутентификацию в FortiSIEM Supervisor. Незашифрованный ключ также хранится внутри образа FortiSIEM. Хотя оболочка пользователя ограничена выполнением сценария /opt/phoenix/phscripts/bin/tunnelshell, SSH-аутентификация по-прежнему будет успешной», — пояснил эксперт.

Как сообщил Клаус, уязвимость (CVE-2019-17659) затрагивает версии FortiSIEM 5.2.6 и ниже. Ее эксплуатация позволяет неавторизованным злоумышленникам вызвать отказ в обслуживании системы.

Компания выпустила версию FortiSIEM 5.2.7, устраняющую уязвимость. Fortinet порекомендовала клиентам, которые не используют функцию reverse tunnel, отключить SSH на порте 19999, предоставляющем аутентификацию только для tunneluser. Fortinet также рекомендует клиентам отключить доступ по SSH-туннелю через порт 22.