افزایش همهگیری کووید-۱۹ منجر به افزایش دورکاری شده است و با ادامه روند همهگیری، انجام وظایف کاری در خانه افزایش پیدا کرده است.
باگدشت در این صفحه به یک باگ در تنظیمات پیش فرض Fortinet VPN پرداخته است. این باگ بیش از ۲۰۰،۰۰۰ کسب و کار را تحت تاثیر قرار داده است. برای نگاهی دقیق تر به این باگ همراه ما باشید.
تهدیدات امنیت سایبری در دوران همهگیری کرونا افزایش افزایش یافته است و هکرهای کلاه سیاه در جستجوی نقصهای ساختار VPN برای اکسپلویت آسیبپذیری برای اهداف مخرب هستند.
برطبق نظرات پلتفرم امنیتی SAM Seamless Network، بیش از ۲۰۰،۰۰۰ کسب وکار، فرایندهای دور کاری روزانه را با ساختار Fortigate VPN اجرایی کردهاند. اکثر مشتریان این VPN، از تنظیمات پیشفرض استفاده میکنند. استفاده از تنظیمات پیشفرضFortigate VPN، کسب و کارها در در معرض حمله MitM قرار میدهد. حمله کننده با ارائه یک SSL معتبر به VPN متصل میشود.طبق گفته SAM IoT Security Lab’s Niv Hertz و Tashimov، متخصصین امنیت سریعاً متوجه ایمن نبودن SSL VPN در حالت پیشفرض شدند.
ساختار Fortigate VPN اجرایی کردهاند. اکثر مشتریان این VPN، از تنظیمات پیشفرض استفاده میکنند. استفاده از تنظیمات پیشفرض Fortigate VPN، کسب و کارها در در معرض حمله MitM قرار میدهد. حمله کننده با ارائه یک SSL معتبر به VPN متصل میشود.طبق گفته SAM آزمایشگاه امنیت سایبری IOT از شرکت Niv Hertz و Tashimov، متخصصین امنیت سریعاً متوجه ایمن نبودن SSL VPN در حالت پیشفرض شدند.
کلاینت Fortigate SSL-VPN تنها CA ایجاد شده توسط Fortigate(یا CAهای قابل اطمینان دیگر) را تأیید میکند. پس حمله کننده از طریق ارائه سند معتبر دیگری به روتر Fortigate بدون بالا بردن هرگونه flags، حمله man-in-the-middle attack را اجرایی میکند.
برای شبیهسازی این حمله متخصصین امنیت با تهیه و پیادهسازی تجهیزات IoT، حمله MitM را اجرایی کردند. زمانی که کلاینت Fortinet VPN یک کانکشن ایجاد کند، این حمله اجرایی میشود.متخصص امنیت با سرقت فرایند اعتبارسنجی در حین انجام این فرایند بین سرور و کلاینت ، فرایند احرازهویت را جعل میکند.
اعتبار سنجی گواهی SSL، به فرایند احرازهویت سایت یا دامین را کمک میکند. برای مثال، دادن مدت زمان اعتبار، امضای دیجیتالی، اعتماد به CAهای قابل اعتماد و اگر گواهی کلاینت با سرور مطابقت داشت، اتصال برقرار میشود.
طبق نظر متخصصین امنیت، مشکل زمانی پیدا میشود که که از گواهی پیشفرض self-signed SSL توسط کسب و کارها استفاده میشود. باتوجه به اینکه هر روتر Fortigate دارای SSL پیشفرض با امضای Fortigate یا هر CA معتبر است، هرگواهینامه امکان جعل توسط شخص ثالث را دارد. بنابراین حمله کننده میتواند ترافیک را از روتر دلخواه عبور دهد و شروع به رمزگشایی محتویات ترافیک روتر کند.
دلیل جود این آسیبپذیری استفاده گواهینامه SSL از شماره سریال روتر Fortigate به عنوان نام سرور است. درحالی که Fortigate از شماره سریال برای تطبیق نام سرور استفاده میکند، کلاینت این فرایند را انجام نمیدهد. درنتیجه از سمت کلاینت فرایند احراز هویت جعل میشود.
در یک سناریو حمله کننده با رمزنگاری سریع از ترافیک Fortinet SSL-VPN سمت کلاینت، رمزعبور و OTP کاربر را بدست آورد.
طبق گفته شرکت: حمله کننده ترافیک خود را تزریق میکند و با هر وسیلهای داخل شبکه ارتباط برقرار میکند. برای مثال با تجهیزات که سمت فروش استفاده میشوند و مراکز اطلاعات حساس ارتباط برقرار میکند.
Fortinet اعلام کرد، برنامه برای اعلام این آسیبپذیری ندارد و به مشتریان اعلام کرد که به شکل دستی تنظیمات را تغییر دهند که از حمله MitM در امان باشند. در حال حاضر مشتریانی که از تنظیمات پیشفرض استفاده میکنند، اخطار مشاهده میکنند.
