Anasayfa » FortiSIEM’de Hardcoded SSH Anahtarı

Makaleyi Paylaş

Haberler

FortiSIEM’de Hardcoded SSH Anahtarı

Araştırmacılar FortiSIEM üzeridenki “ tunneluser “ kullanıcıları için tanımlanan ssh anahtarının tüm cihazlarda sisteme gömülü ( Hardcoded ) ve aynı olduğunu tespit etti.

Bu şu anlama geliyor, eğer saldırgan başka bir cihaz üzerinden bu ssh keyi elde ederse diğer cihazlara erişim yapabilir.

Zafiyeti gidermek için bir çok çözüm sunulmuş

FortiSIEM sürüm 5.2.7 ve üstüne yükseltin


Geçici çözüm (FortiSIEM sürüm 5.2.6 ve altı için):

1. SSH to the Supervisor node as the root user.

2. Remove tunneluser SSH configuration file to disable listening on port 19999:

rm -f /etc/ssh/sshd_config.tunneluser

echo rm -f /etc/ssh/sshd_config.tunneluser >> /etc/init.d/phProvision.sh

3. Then terminate sshd running on TCP Port 19999 as follows:

pkill -f /usr/sbin/sshd -p 19999

4.Additional steps can be performed on Supervisor to remove the keys associated with tunneluser account:

rm -f /opt/phoenix/deployment/id_rsa.pub.tunneluser

rm -f /home/tunneluser/.ssh/authorized_keys

rm -f /opt/phoenix/id_rsa.tunneluser ~admin/.ssh/id_rsa

Customers are also advised to disable “tunneluser” SSH access on port 22 by following the steps below:

1. SSH to the Supervisor node as the root user.

2. Add/edit the following line in sshd_config file:

echo DenyUsers tunneluser >>  /etc/ssh/sshd_config

3. service sshd restart

Kaynak

Link

Makaleyi Paylaş

Cevap bırakın