Fortinet 安全信息和事件管理器 FortiSIEM 中的硬编码 SSH 公钥可被滥用于访问 FortiSIEM Supervisor。该硬编码 SSH 密钥属于用户“tunneluser”。攻击者如拥有该密钥,则能成功以该用户的身份认证到 FortiSIEM Supervirsor。该未加密的密钥还同时存储在 FortiSIEM 图像中。虽然该用户的 shell 仅限于运行脚本 /opt/phoenix/phscripts/bin/tunnelshell ,SSH 认证仍然是成功的。Fortinet发布安全公告称,该漏洞的编号是 CVE-2019-17659,它可导致拒绝服务后果。该公司还解释称,用户“tunneluser”仅在受限制的shell 中运行,“仅允许该用户创建从 supervisor 到原始 IP 的隧道连接。”这样就能够启用到初始化连接的 IP 反向 shell 连接。Fortinet 表示,当收集器和管理器之间存在防火墙时,该功能旨在启用从管理器到收集器的连接。Fortinet建议未使用反向隧道功能的客户禁用端口1999上的 SSH。该公司还提供了删除和“tunneluser”账户相关联密钥的步骤信息。另外,Fortinet 还建议客户禁用端口22上的“tunneluser” SSH 访问权限。Klaus表示,客户应该清空或删除 /home/tunneluser/.ssh/authorized_keys 文件以确保节点受到仅受信任访问端口的防火墙保护。1月初,Fortinet公开披露该漏洞,它影响 FortinetSIEM 版本5.2.6及以上版本。上周,该公司已发布 FortiSIEM 版本 5.2.7 解决该漏洞问题。
https://www.securityweek.com/hardcoded-ssh-key-found-fortinet-siem-appliances
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。