Imagen: Fortinet, ZDNet
Fortinet ha lanzado parches este mes para eliminar dos cuentas de puerta trasera de FortiSIEM, el producto SIEM de la compañía.
SIEM son las siglas de Stability Info and Party Management (SIEM) y es un tipo de software utilizado por los equipos de ciberseguridad.
El application SIEM puede ser un sistema basado en la nube o un servidor que se ejecuta localmente. FortiSIEM y los productos SIEM en su conjunto funcionan agregando puntos de datos de diferentes fuentes, como sistemas operativos, aplicaciones, antivirus, bases de datos y registros de servidores. El papel de un producto SIEM es recopilar y analizar estas vastas franjas de puntos de datos para detectar anomalías o indicadores conocidos de una violación de seguridad, y luego alertar al equipo de seguridad de una empresa.
Debido a la naturaleza practical de los datos procesados por un producto SIEM y su papel central en las defensas de seguridad cibernética de una empresa, cualquier mecanismo de puerta trasera en estos sistemas se considera una vulnerabilidad peligrosa y altamente crítica.
Cualquier actor de amenazas que obtenga acceso a un producto SIEM puede usarlo para realizar el reconocimiento en la purple interna de un objetivo y luego eliminar los signos de un compromiso exitoso.
Puerta trasera SSH
El 15 de enero, Fortinet lanzó un parche para FortiSIEM que eliminó una puerta trasera en la función de conexión SSH del SIEM.
«FortiSIEM tiene una clave pública SSH codificada para el usuario 'tunneluser' que es igual entre todas las instalaciones», dijo Andrew Klaus, el investigador de seguridad que identificó este problema.
«Un atacante con esta clave puede autenticarse con éxito como este usuario en el Supervisor FortiSIEM. La clave no cifrada también se almacena dentro de la imagen FortiSIEM». él dijo.
Además de la disponibilidad de un parche, lo único bueno es que este usuario SSH tiene acceso a un shell restringido que normalmente utilizan los hosts para enviar datos al Supervisor FortiSIEM (el servidor de recopilación de datos) y, como resultado, tiene acceso a Muy pocas características.
La mala noticia es que la cuenta SSH «tunneluser» se united states of america comúnmente para evitar los firewalls y enviar telemetría y registrar datos a un servidor FortiSIEM a través de Web, lo que significa que FortiSIEM es vulnerable al acceso remoto no autorizado gracias al diseño de la función.
La clave SSH codificada, incluso si otorga acceso a una shell / cuenta SSH limitada, aún le da acceso a un atacante al producto de seguridad cibernética essential de una empresa, un lugar donde los atacantes deberían tener acceso, incluso a través de cuentas limitadas.
Klaus advierte que si un atacante encuentra una manera de evitar este caparazón restringido, estaría sentado dentro del centro de operaciones de una empresa.
Se aconseja a las empresas que instalen el parche de Fortinet para CVE-2019-17659o restringir el acceso al puerto «tunneluser» de FortiSIEM, que funciona en el puerto 19999, separado del puerto SSH estándar 22.
También se recomienda a las empresas que ejecutan productos FortiSIEM que investiguen sus servidores para obtener acceso no autorizado. Debido a un problema del servidor de correo electrónico, hubo una falta de comunicación entre Fortinet y Klaus, y el investigador publicó detalles sobre esta vulnerabilidad en Online el 3 de enero, doce días antes de que Fortinet lanzara un parche, lo que significa que podrían haberse producido algunos ataques.
La puerta trasera de la base de datos
Pero también hay un segundo mecanismo similar a una puerta trasera en FortiSIEM de Fortinet. El 12 de enero, Fortinet también parchó CVE-2019-16153.
Este parche elimina una contraseña codificada del componente de foundation de datos FortiSIEM que podría permitir a los atacantes acceder a la base de datos del dispositivo mediante el uso de credenciales estáticas.
Sin embargo, para explotar este problema, un atacante primero necesita acceso a la pink interna de una empresa.
Sin embargo, ninguno de estos dos problemas de puerta trasera es tan grave como los descubiertos en el sistema operativo FortiGate a principios de 2016, que impactó la mayoría de los equipos de redes de la compañía.
