Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

200 тыс. предприятий с развернутым Fortigate VPN уязвимы к MitM-атакам

28/09/20

hack75-Sep-28-2020-09-47-34-02-AMБолее 200 тыс. предприятий, которые развернули решение Fortigate VPN для удаленного подключения своих сотрудников, уязвимы к MitM-атакам. Успешная атака может позволить злоумышленнику представить действительный SSL-сертификат и обманным путем перехватить контроль над соединением.

«Мы быстро обнаружили, что при конфигурации по умолчанию SSL VPN не так хорошо защищен, как должен быть, и довольно легко уязвим к MitM-атакам», — пояснили специалисты Нив Герц (Niv Hertz) и Лиор Ташимов (Lior Tashimov) из SAM IoT Security Lab.

Исследователи создали скомпрометированное IoT-устройство и использовали его для осуществления атак вскоре после инициации соединения клиентом Fortinet VPN, которое затем крадет учетные данные перед их передачей на сервер и имитирует процесс аутентификации.

Проверка SSL-сертификата, подтверждающая подлинность web-сайта или домена, обычно происходит путем проверки срока его действия, цифровой подписи, был ли он выпущен доверенным центром сертификации, и совпадает ли тема в сертификате с сервером, к которому подключается клиент.

Проблема заключается в использовании компаниями самоподписанных SSL-сертификатов по умолчанию. Учитывая тот факт, что каждый маршрутизатор Fortigate поставляется с SSL-сертификатом по умолчанию, подписанным Fortinet, этот самый сертификат может быть подделан третьей стороной, если он действителен и выпущен либо Fortinet, либо любым другим доверенным центром сертификации. Таким образом злоумышленник может перенаправить трафик к подконтрольному серверу и расшифровывать содержимое.

Причина данной проблемы заключается в том, что в SSL-сертификате по умолчанию используется серийный номер маршрутизатора в качестве имени сервера для сертификата. Хотя Fortinet может использовать серийный номер маршрутизатора для проверки совпадения имен серверов, похоже, клиент вообще не проверяет имя сервера, что приводит к мошеннической аутентификации.

Как сообщили представители Fortinet, компания не планирует решать эту проблему, предлагая пользователям вручную заменить сертификат по умолчанию и обеспечить безопасность соединений от MitM-атак.

В настоящее время Fortinet выдает предупреждение при использовании сертификата по умолчанию: «Вы используете встроенный сертификат по умолчанию, который не сможет проверить доменное имя вашего сервера. Рекомендуется приобрести сертификат для вашего домена и загрузить его для использования».

Темы:УгрозыSSL-сертификатыFortigateатака "человек посередине"
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...