Fortinet réfute le terme de porte dérobée dans l’embarqué de ses appliances

C’est dans la soirée de ce mardi 12 janvier que Ralf-Philip Weinmann – qui s’est longuement penché sur les portes dérobées des appliances NetScreen de Juniper – a mis la main sur un échantillon de code Python publié sur SecLists.org, et permettant d’accéder en tant qu’administrateur aux appliances Fortinet équipées de certaines anciennes versions de FortiOS. Et de confirmer, après essai, son fonctionnement, avant que le Dr David D. Davidson ne fournisse une capture d’écran pour enfoncer le clou.

Heavily redacted (at sources request) screenshot of the #Fortinet #Fortigate #backdoor functioning. pic.twitter.com/hT5bWNe8eW

— Dr David D. Davidson (@dailydavedavids) January 12, 2016

Un temps, durant la soirée, certains ont pensé qu’il ne s’agissait qu’une vulnérabilité déjà connue depuis la fin août 2014. Une hypothèse infirmée rapidement par celui même qui l’avait découverte.

Se voulant rassurant, Fortinet s’est empressé de publier une brève déclaration, réfutant le terme de porte dérobée pour lui préféré celui de « problème de gestion de l’authentification » lié à son système d’administration FortiManager. Un problème dont l’équipementier indique qu’il a été « identifié par notre équipe de sécurité produit dans le cadre de ses efforts réguliers de revue [de code] et de test ».

Les versions 5.0.8 et plus de FortiOS 5 ne sont pas affectées, ni même les versions 4.3.17 et plus de FortiOS 4, disponibles depuis juillet 2014.

Dans sa déclaration, Fortiner assure avoir s’assurer, après « enquête et analyse méticuleuse », que ce « problème n’était pas du à une quelconque activité malicieuse d’une partie, en interne comme en externe  ».

Ce qui n’a pas pour mérite d’apaiser la communauté de la sécurité. Ainsi, Per Thorsteim interpelle l’équipementier : « pas de tiers externe impliqué ? Ok, comment se fait-il que vous ayez installé une porte dérobée secrète dans vos propres produits ? » De son côté, Dan Kaminsky pose la question de l’intention et Gérôme Billois, de Solucom, évoque une "faute majeure", tandis que Rob Graham, d’Errata Security, souligne son attachement au terme de porte dérobée, l’attribuant non pas à une volonté malicieuse mais à de la « stupidité ».  

yes, @Fortinet, I believe your backdoor is because you were stupid and not malicious, but it's still a backdoor.

— Rob Frosty Graham ❄️ (@ErrataRob) January 13, 2016

Mais sur Reddit, un intervenant préfère s’en prendre aux administrateurs de systèmes de protection Fortinet, soulignant l’âge des versions de FortiOS affectées : « si vous utilisez toujours une version de FortiOS vieille de 18 mois, il y a de bien plus vastes problèmes dont vous préoccuper ».