افزایش همه‌گیری کووید-۱۹ منجر به افزایش دورکاری شده است و با ادامه روند همه‌گیری، انجام وظایف کاری در خانه افزایش پیدا کرده است.

باگدشت در این صفحه به یک باگ در تنظیمات پیش فرض Fortinet VPN پرداخته است. این باگ بیش از ۲۰۰،۰۰۰ کسب و کار را تحت تاثیر قرار داده است. برای نگاهی دقیق تر به این باگ همراه ما باشید.
تهدیدات امنیت سایبری در دوران همه‌گیری کرونا افزایش افزایش یافته است و هکرهای کلاه سیاه در جستجوی نقص‌های ساختار VPN برای اکسپلویت آسیب‌پذیری برای اهداف مخرب هستند.

برطبق نظرات پلتفرم امنیتی SAM Seamless Network، بیش از ۲۰۰،۰۰۰ کسب وکار، فرایند‌های دور کاری روزانه را با ساختار Fortigate VPN اجرایی کرده‌اند. اکثر مشتریان این VPN، از تنظیمات پیش‌فرض استفاده می‌کنند. استفاده از تنظیمات پیش‌فرضFortigate VPN، کسب و کارها در در معرض حمله MitM قرار می‌دهد. حمله کننده با ارائه یک SSL معتبر به VPN متصل می‌شود.طبق گفته SAM IoT Security Lab’s Niv Hertz و Tashimov،  متخصصین امنیت سریعاً متوجه ایمن نبودن SSL VPN در حالت پیش‌فرض شدند.

ساختار Fortigate VPN اجرایی کرده‌اند. اکثر مشتریان این VPN، از تنظیمات پیش‌فرض استفاده می‌کنند. استفاده از تنظیمات پیش‌فرض Fortigate VPN، کسب و کارها در در معرض حمله MitM قرار می‌دهد. حمله کننده با ارائه یک SSL معتبر به VPN متصل می‌شود.طبق گفته SAM آزمایشگاه امنیت سایبری IOT از شرکت Niv Hertz و Tashimov،  متخصصین امنیت سریعاً متوجه ایمن نبودن SSL VPN در حالت پیش‌فرض شدند.

کلاینت Fortigate SSL-VPN تنها CA ایجاد شده توسط Fortigate(یا CAهای قابل اطمینان دیگر) را تأیید می‌کند. پس حمله کننده از طریق ارائه سند معتبر دیگری به روتر Fortigate بدون بالا بردن هرگونه flags، حمله man-in-the-middle attack را اجرایی می‌کند.

 برای شبیه‌سازی این حمله متخصصین امنیت با تهیه و پیاده‌سازی تجهیزات IoT، حمله MitM را اجرایی کردند. زمانی که کلاینت Fortinet VPN یک کانکشن ایجاد کند، این حمله اجرایی می‌شود.متخصص امنیت  با سرقت فرایند اعتبارسنجی در حین انجام این فرایند بین سرور و کلاینت ، فرایند احرازهویت را جعل می‌کند.

تجهیزات برای اجرای حمله MitM

اعتبار سنجی گواهی SSL، به فرایند احرازهویت سایت یا دامین را کمک می‌کند. برای مثال، دادن مدت زمان اعتبار، امضای دیجیتالی، اعتماد به CAهای قابل اعتماد و اگر گواهی کلاینت با سرور مطابقت داشت، اتصال برقرار می‌شود.

طبق نظر متخصصین امنیت، مشکل زمانی پیدا می‌شود که که از گواهی پیش‌فرض self-signed SSL توسط کسب و کارها استفاده می‌شود. باتوجه به اینکه هر روتر Fortigate دارای SSL پیش‌فرض با امضای Fortigate یا هر CA معتبر است، هرگواهی‌نامه امکان جعل توسط شخص ثالث را دارد. بنابراین حمله کننده می‌تواند ترافیک را از روتر دلخواه عبور دهد و شروع به رمزگشایی محتویات ترافیک روتر کند.

دلیل جود این آسیب‌پذیری استفاده گواهی‌نامه SSL از شماره سریال روتر Fortigate به عنوان نام سرور است. درحالی که Fortigate از شماره سریال برای تطبیق نام سرور استفاده می‌کند، کلاینت این فرایند را انجام نمی‌دهد. درنتیجه از سمت کلاینت فرایند احراز هویت جعل می‌شود.

در یک سناریو حمله کننده با رمزنگاری سریع از ترافیک Fortinet SSL-VPN سمت کلاینت، رمزعبور و OTP کاربر را بدست آورد.

طبق گفته شرکت: حمله کننده ترافیک خود را تزریق می‌کند و با هر وسیله‌ای داخل شبکه ارتباط برقرار می‌کند. برای مثال با تجهیزات که سمت فروش استفاده می‌شوند و مراکز اطلاعات حساس ارتباط برقرار می‌کند.

Fortinet اعلام کرد، برنامه برای اعلام این آسیب‌پذیری ندارد و به مشتریان اعلام کرد که به شکل دستی تنظیمات را تغییر دهند که از حمله MitM در امان باشند. در حال حاضر مشتریانی که از تنظیمات پیش‌فرض استفاده می‌کنند، اخطار مشاهده می‌کنند.

منابع:

  1. Fortinet VPN