Firewall kullanarak güvende olduğunuzu sanıyorsunuz ama belki de tam tersi. Juniper firewall’larda [1] arkakapı olduğunun ortaya çıkmasından sonra şimdi de, FortiOS firewall’larda şüpheli bir kod bulundu. Bu kod ile firewall’a sızıp, işlem yapar hale gelmek mümkün.
Arka Kapıyı gösteren FortiOS kodlarını, [email protected] mailine sahip kimliği bilinmeyen bir kullanıcı 3 gün önce sızdırdı.[2]
Sızan bilgilere bakılırsa, Fortinet’in FortiGate firewall’larında bulunan FortiOS işletim sistemi bir arka kapıya sahip. Bu arka kapı kullanılarak firewall’a sızıp, işlemleri yönetmek mümkün oluyor. Bunun için “Fortimanager_Access” kullanıcı ismini ve “FGTAbc11*xy+Qqz27” şifresinin hashed versiyonunu kullanmanız yeterli.
Bu arka kapı durumu Kasım 2012 – Temmuz 2014 arasında gelen 4.3.0-4.3.16 ve 5.0.0.-5.0.7 FortiOS versiyonlarında mevcut. Şirketin ürün detaylarına bakıldığında, bu SSH kullanıcısının sorun-ve-cevap yetkilendirmesi için SSH güvenli protokolü ile erişmek için yaratıldığı bilgisi var.
Bu açık şu anda bir hayli tehlikeli; Hackerlar etrafta bu arkakapıya sahip Firewall’ları tayarabilir ve sızabilir. Nitekim kodun yayınlanmasından hemen sonra bir Twitter kullancısı nasıl sızdığına dair bir ekran görüntüsü yayınladı[3]. Ama daha önemlisi, bu arka kapıyı kullanarak firewall’a giren kişiye dair log bilgisi tutulmuyor olması.
Fortinet, önce bu arka kapı hesabının neden yaratılmış olduğunu açıklamaya çalıştı. Şirket bu kritik güvenlik açığını temmuz 2014’de 5.2.3 versiyonunda düzelttiğini belirtti. Ancak buna dair bir yayın yapılmamış.
Arka kapı tartışmalarının hızlanması sonrasında ise bu yayını yaptılar [4] ve olayla ilgili olarak “Bu arka kapı açığı değildi. Daha ziyade bir yönetim konusuydu. Ürün güvenlik ekibimiz düzenli inceleme ve test işlemleri sırasında bulmuştu” gibi bir ifade kullandılar.
[1] Juniper Sorgulanıyor; Kötü Niyetli Kod’u, Kim, Ne İçin Yerleştirdi?
[2] SSH Backdoor for FortiGate OS Version 4.x up to 5.0.7
[4] FortiOS SSH Undocumented Interactive Login Vulnerability