繼網絡設備生產商 Juniper 被指旗下的防火牆有後門後,另一間生產商 Fortinet 亦被質疑產品含有後門,而且密碼已在網上公開,讓人有機可乘,但 Fortinet 指這個問題一早已修復。
研究人員發現 Fortinet 防火牆的系統 FortiGate OS 帶有硬編碼(hard-coded)的密碼「FGTAbc11*xy+Qqz27」(無引號),可為裝置加入後門。網上亦有 Python 程式使人可以利用這個漏洞取得管理員權限。受影響的版本為 FortiGate OS 4.3.0 至 4.3.16 及 5.0.0 至 5.0.7。
Fortinet :早已發出修復檔案
然而 Fortinet 否認這是後門。他指這個問題已解決,修復檔案亦在 2014 年 7 月公開;又認為這不是一個後門漏洞,而是管理認證的問題(management authentication issue)。這個問題由內部定期檢查的時候發現,並確認這不是由其他人惡意植入。
或許 Fortinet 聲明中值得留意的是,他否認這個問題是由外部導致。這與早前 Juniper 的情況不同,因為 Juniper 防火牆中有問題程式碼是未經允許被植入,引起眾多揣測。
Source : The Register , ITProPortal
