东方网?硬编码密码引发新的后门窃听恐惧
  • 发表时间:2018-07-15

进一步阅读Juniper drop NSA开发的代码在新的后门泄密事件发生后不到一个月,Juniper网络官员在公司的防火墙网络中披露了未经授权的后门,研究人员从Juniper竞争对手Fortinet的旧软件中发现了高度可疑的代码。

可疑代码包含用于使用安全外壳( SSH )协议登录服务器的质询和响应身份验证例程。研究人员在查看了周六发布在网上的这一漏洞代码后,发现了一个硬编码密码 fgtabc 11 * xy + Qqz27 (不包括引号)。周二,一名研究人员发布了这张截图,声称显示有人利用该漏洞远程访问运行Fortinet s FortiOS软件的服务器。协助揭露Juniper后门内部运作的安全研究员Ralf - Philipp Weinmann周二在Twitter上多次提到自定义SSH身份验证是后门。在一个具体的帖子中,他证实了他能够像以前版本的Fortinet s FortiOS所报道的那样使它工作。

在一份声明中,富通的官员拒绝了后门的描述。他们写道:

这个问题已经解决,作为Fortinet致力于确保我们代码库质量和完整性的一部分,一个补丁已于2014年7月提供。这不是后门漏洞问题,而是管理身份验证问题。我们的产品安全团队将此问题确定为定期审查和测试工作的一部分。经过仔细分析和调查,我们能够证实这个问题不是由任何一方内部或外部的恶意活动造成的。FortiOS 5 . 0 . 8及更高版本以及FortiOS 4 . 3 . 17及更高版本的所有版本都不受此问题的影响。

根据漏洞代码,未公开的身份验证适用于4.3版至5 . 0 . 7版。如果正确的话,基于这一粗略的发布历史,秘密访问方法在2013年和2014年以及可能更早的时间框架内的FortiOS版本中是活跃的。这一弱点最终得到修补,但迄今为止,研究人员仍未能找到披露替代认证方法或硬编码密码的安全建议。尽管一名研究人员告诉Ars,该漏洞在5 . 2 . 3版中不再有效,但该版本仍然可疑,因为它包含相同的硬编码字符串。

所以这个认证机制的很多部分仍然在后来的固件中,要求不具名的研究人员说。本月发布的最新版本FortiOS 5 . 4 . 0。

在这一点上,现在确定可疑例程是为提供未经授权访问而设置的后门还为时尚早。不过,毫无疑问,这个代码确实有这种效果。鉴于未经授权的窃听代码在Juniper软件中存在了大约三年,现在修补的例程也是未经授权的。富通的官员应该尽快进行彻底而透明的会计核算,以消除不确定性。