FortiGuard Zayıf Şifreleme Kullanmış

Güvenlik araştırmacıları, Fortinet’in AntiSpam, AntiVirus ve Web Filter gibi çoklu güvenlik ürünlerinin buluttaki FortiGuard hizmetleriyle iletişim kurmak için zayıf şifreleme ve statik anahtarlar kullandığını buldu.

Ağ trafiğini engelleyebilen bir saldırgan, FortiGuard sunucuları ile değiştirilen mesajların şifresini çok rahatlıkla çözebilir ve değiştirebilir.

XOR ve statik anahtar

SEC Consult Zafiyet Laboratuarı tarafından bulguların geçerliliğini gösteren kavram kanıtı (PoC) kodu ile birlikte yayınlanan bir güvenlik raporunda, şu anda CVE-2018-9195 olarak izlenen güvenlik açığı hakkında ayrıntılı bilgi yayımladı.

Sorun, FortiOS (6.0.7 veya 6.2.0 öncesi), 6.2.0 öncesi Windows FortiClient ve 6.2.2 öncesi Mac için FortiClient’in 28.03.209 tarihinden itibaren yayımlanan 6.2.2 öncesi Mac sürümlerini etkiliyor. Fortinet , 20 Kasım’da güvenlik açığını duyurdu .

Stefan Viehböck, 16 Mayıs 2018’de zayıflığı keşfetti ve sorumlu olarak Fortinet’e açıkladı. Bulut iletişiminin, ürünlere gömülü anahtarla XOR şifresi kullanılarak şifrelenmiş olduğunu buldu.

Pentest şirketi raporunda , bu zayıflığı sömüren bir saldırganın, daha iyi bir saldırı inşa etmelerine yardımcı olacak bilgiyi toplayabileceğini belirtti. Dünyanın her yerindeki kullanıcıları izleyebilirveya e-posta verilerini alabilirler.

Pasif izleme ile bolca açığa çıktı

Pasif izleme yoluyla elde edilebilecek detaylar arasında Fortinet ürün kurulumunun seri numarası (tip ve benzersiz kimlik) vardır.

Bu, hedef organizasyon tarafından kullanılan Fortinet çözümlerinin ve FortiClient kurulumlarının daha iyi bir resmini sağlayacaktır. Web Filtresi özelliği durumunda, internet trafiği ortaya çıkar. Ayrıca, SSL denetiminin etkin olduğu yerlerde, “SSL / TLS’in gizliliğini etkin bir şekilde kırarak” aynı protokol kullanılacaktır.

SEC Consult, AntiSpam filtresi veya Antivirus bileşeni tarafından gönderilenler hakkında daha fazla bilgiye sahip olmasa da, bir saldırganın FortiGuard Web Filtresi, AntiSpam ve AntiVirus özelliklerine yönelik yanıtları değiştirmek için internet trafiğini engelleyebileceğini ve değiştirebileceğini söylüyorlar.

SEC Consult tarafından Python 3’le hazırlanmış bir senaryo olan PoC’da, bir tehdit aktörünün Fortinet yazılımlarını henüz güncellememiş bir kuruluşa saldırı yapmasını zorlaştırmak için anahtar kaldırıldı.

About The Author

Reply