Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

200 тыс. предприятий с развернутым Fortigate VPN уязвимы к MitM-атакам

28/09/20

hack75-Sep-28-2020-09-47-34-02-AMБолее 200 тыс. предприятий, которые развернули решение Fortigate VPN для удаленного подключения своих сотрудников, уязвимы к MitM-атакам. Успешная атака может позволить злоумышленнику представить действительный SSL-сертификат и обманным путем перехватить контроль над соединением.

«Мы быстро обнаружили, что при конфигурации по умолчанию SSL VPN не так хорошо защищен, как должен быть, и довольно легко уязвим к MitM-атакам», — пояснили специалисты Нив Герц (Niv Hertz) и Лиор Ташимов (Lior Tashimov) из SAM IoT Security Lab.

Исследователи создали скомпрометированное IoT-устройство и использовали его для осуществления атак вскоре после инициации соединения клиентом Fortinet VPN, которое затем крадет учетные данные перед их передачей на сервер и имитирует процесс аутентификации.

Проверка SSL-сертификата, подтверждающая подлинность web-сайта или домена, обычно происходит путем проверки срока его действия, цифровой подписи, был ли он выпущен доверенным центром сертификации, и совпадает ли тема в сертификате с сервером, к которому подключается клиент.

Проблема заключается в использовании компаниями самоподписанных SSL-сертификатов по умолчанию. Учитывая тот факт, что каждый маршрутизатор Fortigate поставляется с SSL-сертификатом по умолчанию, подписанным Fortinet, этот самый сертификат может быть подделан третьей стороной, если он действителен и выпущен либо Fortinet, либо любым другим доверенным центром сертификации. Таким образом злоумышленник может перенаправить трафик к подконтрольному серверу и расшифровывать содержимое.

Причина данной проблемы заключается в том, что в SSL-сертификате по умолчанию используется серийный номер маршрутизатора в качестве имени сервера для сертификата. Хотя Fortinet может использовать серийный номер маршрутизатора для проверки совпадения имен серверов, похоже, клиент вообще не проверяет имя сервера, что приводит к мошеннической аутентификации.

Как сообщили представители Fortinet, компания не планирует решать эту проблему, предлагая пользователям вручную заменить сертификат по умолчанию и обеспечить безопасность соединений от MitM-атак.

В настоящее время Fortinet выдает предупреждение при использовании сертификата по умолчанию: «Вы используете встроенный сертификат по умолчанию, который не сможет проверить доменное имя вашего сервера. Рекомендуется приобрести сертификат для вашего домена и загрузить его для использования».

Темы:УгрозыSSL-сертификатыFortigateатака "человек посередине"
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...