Araştırmacılar FortiSIEM üzeridenki “ tunneluser “ kullanıcıları için tanımlanan ssh anahtarının tüm cihazlarda sisteme gömülü ( Hardcoded ) ve aynı olduğunu tespit etti.
Bu şu anlama geliyor, eğer saldırgan başka bir cihaz üzerinden bu ssh keyi elde ederse diğer cihazlara erişim yapabilir.
Zafiyeti gidermek için bir çok çözüm sunulmuş
FortiSIEM sürüm 5.2.7 ve üstüne yükseltin
Geçici çözüm (FortiSIEM sürüm 5.2.6 ve altı için):
1. SSH to the Supervisor node as the root user.
2. Remove tunneluser SSH configuration file to disable listening on port 19999:
rm -f /etc/ssh/sshd_config.tunneluser
echo rm -f /etc/ssh/sshd_config.tunneluser >> /etc/init.d/phProvision.sh
3. Then terminate sshd running on TCP Port 19999 as follows:
pkill -f /usr/sbin/sshd -p 19999
4.Additional steps can be performed on Supervisor to remove the keys associated with tunneluser account:
rm -f /opt/phoenix/deployment/id_rsa.pub.tunneluser
rm -f /home/tunneluser/.ssh/authorized_keys
rm -f /opt/phoenix/id_rsa.tunneluser ~admin/.ssh/id_rsa
Customers are also advised to disable “tunneluser” SSH access on port 22 by following the steps below:
1. SSH to the Supervisor node as the root user.
2. Add/edit the following line in sshd_config file:
echo DenyUsers tunneluser >> /etc/ssh/sshd_config
3. service sshd restart
Kaynak
