Fortinet retira las claves SSH y de base de datos hardcodeadas en FortiSIEM

Durante la segunda semana de Enero de este nuevo año se publicó un advisory en el que se detallaban ciertos peligros existentes en el producto FortiSIEM de Fortinet.

En sus appliances se hallaron claves SSH «hardcodeadas» y además otra en la base de datos. El descubridor fue Andrew Klaus, un analista de ciberseguridad de la empresa Cybera.

Vulnerabilidades corregidas en FortiSIEM

CVE-2019-17659

Concretamente, el primero de los peligros en este Security Information and Event Monitor, podría usarse para atacar el Supervisor de FortiSIEM. Todos los appliances de Fortinet comparten la misma clave SSH para el usuario tunneluser, y se guarda en texto plano.

FortiSIEM tiene una clave pública de SSH hardcodeada para el usuario tunneluser, que es el mismo en todas las instalaciones. Un atacante con esta clave puede autenticarse con éxito como este usuario en el Supervisor de FortiSIEM.

La clave sin cifrar además es guardada dentro de la imagen del software. Mientras la shell del usuario está limitada a ejecutar el script /opt/phoenix/phsscripts/bin/tunnelshell, se sigue pudiendo autenticar.

Boletín de la vulnerabilidad

El uso de claves predefinidas en texto claro permitiría a un atacante remoto sin autenticar obtener acceso SSH con el usuario de permiso restringido tunneluser, usando la clave privada de una imagen de firmware diferente. Esto podrían aprovecharlo atacantes para lanzar un ataque de denegación de servicio.

CVE-2019-16153

A mediados de este mes, Fortinet lanzó otro parche para otra de las vulnerabilidades, CVE-2019-16153, que tiene que ver con una contraseña hardcodeada en la base de datos de FortiSIEM.

El fallo permitiría a un atacante el acceso a la base de datos del dispositivo utilizando credenciales estáticas.

Este fallo afecta a los productos FortiSIEM 5.2.5 y anteriores. La forma de corregir el fallo es actualizar a la versión 5.2.6.