Hekker Támadás Ért 200,000 Céget a Fortinet VPN Alapértelmezett Beállításai Miatt
Mivel a járvány miatt előreláthatólag még egy ideig az otthoni munkavégzésre leszünk kényszerülve, számos kiber támadás irányult, a Covid-19 okozta egészségügyi problémákat kihasználva, távoli munkavégzés köré épített digitális infrastruktúra ellen.
Egy hálózati biztonságtechnika fejlesztő csoport, a SAM Seamless Network szerint több mint kétszázezer cégnél használták a Fortigate VPN szolgáltatását – alapértelmezett beállításokkal – annak érdekében, hogy biztosítsák az alkalmazottjaiknak az otthoni munkavégzéshez szükséges távoli szerver elérést. Az alap beállításokkal viszont kiszolgáltatottá tették magukat a man-in-the-middle (MitM) típusú kiber támadásoknak, ezzel a hekkereknek lehetőséget adva ahhoz hogy érvényes SSL tanúsítvánnyal átvegyék a szerver kapcsolatok felett az irányítást.
“Gyorsan rájöttünk, hogy a VPN szolgáltató alapértelmezett SSL konfigurációi nem biztosítanak megfelelő szintű védelmet, így könnyű prédájává váltak ezek a hálózatok az MitM támadásoknak” nyilatkozta SAM Biztonsági Laboratóriumánál dolgozó Niv Hertz és Lior Tashimov.
A Fortigate SSL-VPN kliens csak az általa hitelesített CA-t ellenőrzi (vagy egy másik szolgáltató által használt CA-t), így hekkerek különösebb nehézség nélkül tudnak érvényes SSL tanúsítvánnyal behatolni a rendszerbe.
Hogy sikerüljön végrehajtani a támadást, a hekkerek egy feltört IoT készüléket használtak ami kezdeményezte a MitM támadást röviddel azután hogy a Fortinet VPN kliense megnyitotta az eléréshez szükséges kapcsolatot.
Az SSL tanúsítványnak feladata ellenőrizni minden hozzáférést kérő weboldalnak vagy domain-nek a hitelességét, figyelembe vége az érvényesség idejét és digitális aláírását, és azt hogy a hozzáférést kérő fél tanúsítványát megbízható és hiteles “certificate Authority” (CA) állította-e ki, illetve és ha a tanúsítvány típusa egyezik a szerverrel és a fogadó klienssel is.
A probléma, az éritett cégek jelentései szerint, az alapértelmezett “self-signed” SSL tanúsítványok használata volt.
Mivel minden egyes Fortigate router az alapértelmezett SSL beállításokat használja, melyet a Fortinet hitelesít, a tanúsítvány könnyen megkerülhető egy harmadik fél által, ha az hitelesített és a Fortinet, vagy egy másik megbízható CA állította ki.
Ennek az oka főleg az, hogy az alapértelmezetett SSL tanúsítvány a router gyártási számát (serial number) használja a szerver elnevezésében is. Amíg a Fortiner a router gyártási számát használja ahhoz hogy ellenőrizze hogy passzolnak-e a szerver nevei, a kliens úgy tűnik nem ellenőrzi a szerver neveket egyáltalán, ezzel hamisított hitelesítést eredményezve.
Egy esetben a hekkerek pont ezt a kiskaput használták ki hogy dekódolják a Fortinet SSL-VPN kliens forgalmát, ezzel megszerezve OTP felhasználók felhasználónevét és jelszavát. “Egy hekker támadás során a támadó a saját forgalmi adatait tudja beilleszteni a rendszerbe, és így kommunikálni tud minden belső hálózatban található készülékkel, beleértve a point-of-sales-t és adatközpontokat is” — a pénzügyi vállalat jelentései szerint. — “Ez egy nagyon komoly rés a pajzson, ami komoly adatbiztonsági problémákat vethet fel.”
A Fortinet azt nyilatkozta, hogy nem tervezik a kiskapu megszüntetését, és azt javasolják hogy a felhasználók manuálisan állítsák át az alapértelmezetett tanúsítványt, amivel megelőzhetőek az MitM támadások.
Jelenleg, a Fortinet hibajelzést küld, ha egy felhasználó az alapértelmezett tanúsítványt használja:
You are using a default built-in certificate, which will not be able to verify your server’s domain name (your users will see a warning). It is recommended to purchase a certificate for your domain and upload it for use
“A Fortigate fiaskó csak egy példa a ma jelenlévő problémák közli amik kis-, és középvállalkozásokat érintenek, főleg a jelenlegi, Covid-19 okozta otthoni munkavégzés közepette.” — nyilatkozta Hertz és Tashimov. — “Az érintettekhez hasonló vállalatoknak a mai világban már sokkal magasabb szintű biztosági előírásoknak kell megfelelnie ahhoz, hogy ne legyenek ilyen támadásoknak kitéve, viszont legtöbbször nem rendelkeznek ennek megfelelő szakértelemmel. Kisebb cégeknek viszont elég az is, ha kevésbé flexibilis, de könnyebben implementálható biztonsági rendszereket használnak.”
FRISSEN ÉRKEZETT: A Fortinet Hacker News hírportálnak adott nyilatkozata szerint, “a felhasználóink hálózati biztonsága a legfontosabb számunkra. Nem egy biztonsági résről van szó. A Fortinet VPN szolgáltatása úgy lett kifejlesztve, hogy különösebb beállítások nélkül megfelelő biztonságot adjanak és személyre szabhatóak legyenek az adott üzleti megoldásoknak megfelelően.
Mindegyik típusú VPN szolgáltatás ami a Fortinet által elérhető, világos és érthető használati utasítást tartalmaz a kezelőfelületen keresztül, részletes dokumentációval együtt, ami segít a felhasználóknak abban hogy az adott körülménynek megfelelő tanúsítvány beállításokkal biztonságos kapcsolatot alakítsanak ki. Nem győzzük hangsúlyozni a használati utasítás követésének a fontosságát, különös figyelmet fordítva a felmerülő hibaüzenetekre.”
Szóljon hozzá