Fortinet 安全信息和事件管理器 FortiSIEM 中的硬编码 SSH 公钥可被滥用于访问 FortiSIEM Supervisor。

该硬编码 SSH 密钥属于用户“tunneluser”。攻击者如拥有该密钥,则能成功以该用户的身份认证到 FortiSIEM Supervirsor。该未加密的密钥还同时存储在 FortiSIEM 图像中。虽然该用户的 shell 仅限于运行脚本 /opt/phoenix/phscripts/bin/tunnelshell ,SSH 认证仍然是成功的。

Fortinet发布安全公告称,该漏洞的编号是 CVE-2019-17659,它可导致拒绝服务后果。该公司还解释称,用户“tunneluser”仅在受限制的shell 中运行,“仅允许该用户创建从 supervisor 到原始 IP 的隧道连接。”

这样就能够启用到初始化连接的 IP 反向 shell 连接。Fortinet 表示,当收集器和管理器之间存在防火墙时,该功能旨在启用从管理器到收集器的连接。

Fortinet建议未使用反向隧道功能的客户禁用端口1999上的 SSH。该公司还提供了删除和“tunneluser”账户相关联密钥的步骤信息。

另外,Fortinet 还建议客户禁用端口22上的“tunneluser” SSH 访问权限。

Klaus表示,客户应该清空或删除 /home/tunneluser/.ssh/authorized_keys 文件以确保节点受到仅受信任访问端口的防火墙保护。

1月初,Fortinet公开披露该漏洞,它影响 FortinetSIEM 版本5.2.6及以上版本。上周,该公司已发布 FortiSIEM 版本 5.2.7 解决该漏洞问题。

原文链接

https://www.securityweek.com/hardcoded-ssh-key-found-fortinet-siem-appliances

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。