Fortinet lanzó parches este mes para eliminar dos cuentas de puerta trasera de FortiSIEM, el producto SIEM de la compañía. Security Information and Event Management es un tipo de software utilizado por los equipos de seguridad cibernética.
El software SIEM puede ser un sistema basado en la nube o un servidor que se ejecuta localmente. FortiSIEM y los productos SIEM en su conjunto, funcionan agregando puntos de datos de distintas fuentes, como sistemas operativos, aplicaciones, antivirus, bases de datos y registros de servidores.
Un producto SIEM se encarga de recopilar y analizar las franjas de puntos de datos para detectar anomalías o indicadores conocidos de una violación de seguridad, y luego alertar al equipo de la empresa.
Debido a la naturaleza sensible de los datos procesados por un producto SIEM y su papel central en las defensas de seguridad cibernética de una compañía, cualquier mecanismo de backdoor en estos sistemas es considerado como una vulnerabilidad peligrosa y altamente crítica.
Cualquier pirata informáticos que obtenga acceso a un producto SIEM puede utilizarlo para realizar el reconocimiento en la red interna de un objetivo y luego eliminar los signos de un compromiso exitoso.
Puerta trasera SSH
El 15 de enero, Fortinet lanzó un parche para FortiSIEM, que eliminó una puerta trasera en la función de conexión SSH del SIEM.
«FortiSIEM tiene una clave pública SSH codificada para el usuario «tunneluser» que es igual entre todas las instalaciones», dijo Andrew Klaus, investigador de seguridad que identificó el problema.
«Un atacante con esta clave puede autenticarse con éxito como el usuario en el Supervisor FortiSIEM. La clave no encriptada también se almacena dentro de la imagen FortiSIEM», agregó.
Además de la disponibilidad de un parche, otro aspecto bueno es que el usuario SSH tiene acceso a un shell restringido que normalmente utilizan los hosts para enviar datos al Supervisor FortiSIEM, y como resultado, tiene acceso a muy pocas características.
Sin embargo, la mala noticia es que la cuenta SSH «tunneluser» se utiliza comúnmente para evitar los firewalls y enviar telemetría y registrar datos nuevamente a un servidor FortiSIEM por medio de Internet, lo que significa que FortiSIEM es vulnerable al acceso remoto no autorizado gracias al diseño de la función.
La clave SSH codificada, incluso si otorga acceso a una shell/cuenta SSH limitada, aún brinda acceso a un atacante al producto crucial de seguridad cibernética de la compañía, un lugar donde los atacantes deberían tener acceso, incluso por medio de cuentas limitadas.
Klaus advierte que si un atacante encuentra una forma de evitar este caparazón restringido, estaría sentado dentro del centro de operaciones de una empresa.
Se aconseja a las empresas que instalen el parche de Fortinet para CVE-2019-17659, o restrinjan el acceso al puerto «tunneluser» de FortiSIEM, que funciona en el puerto 19999, separado del puerto SSH estándar 22.
También se recomienda a las empresas que ejecutan productos FortiSIEM que investiguen sus servidores para obtener acceso no autorizado. Debido a un problema del servidor de correo electrónico, hubo una falla de comunicación entre Fortinet y Klaus, y el investigador publicó detalles sobre esta vulnerabilidad en Internet el 3 de enero, doce días antes de que Fortinet lanzara un parche, lo que significa que podrían haber ocurrido algunos ataques.
Por otro lado, existe un segundo mecanismo similar a una backdoor en FortiSIEM. El 12 de enero, Fortinet también parcho la vulnerabilidad identificada como CVE-2019-16153.
Este parche elimina una contraseña codificada del componente de base de datos FortiSIEM que podría permitir a los atacantes acceder a la base de datos del dispositivo mediante uso de credenciales estáticas.
Sin embargo, para explotar este problema, un atacante primero necesita acceso a la red interna de una empresa. Aún así, ninguno de estos dos problemas es tan grave como los descubiertos en el sistema operativo FortiGate a inicios de 2016, lo que afectó a la mayoría de los equipos de red de la compañía.
Tardan mucho en mandar las actualizaciones