Tvrtka Fortinet isporučivala je svoje proizvode pogonjene FortiOS vatrozidom s lozinkom upisanom u programskom kodu što napadačima omogućuje dobivanje administratorskih ovlasti s udaljene lokacije za sve ranjive uređaje. Nepoznata osoba je reverznim inženjeringom otkrila upisanu lozinku te napisala i Python skriptu koja omogućuje iskorištavanje ranjivosti. Iako se tvrtka opravdava da je ta lozinka služila za centralno upravljanje pomoću alata FortiManager i da se radi samo o problemu upravljanja autentikacijom, ipak se radi o visokorizičnom propustu, a postoji sumnja i na namjerno ostavljanje “stražnjih vrata” (backdoor) vladinim agencijama. Fortinet je objavio da je ranjivi vatrozid isporučivan od studenog 2012.g. do srpnja 2014.g. (inačice 4.3.16 i 5.0.0 – 5.0.7) kad su i izdali zakrpe koje su onemogućile udaljeni pristup sa spornom lozinkom. Savjetuje se nadogradnja FortiOSa na inačice 4.3.17, 5.0.8 ili novije, a ako nadogradnja nije moguća onda se savjetuje neko od zamjenskih rješenja.
$downloadlink = get_field('download_link'); ?>Vatrozid FortiOS ima upisanu lozinku u programskom kodu
Izvor: The Register