[Информационная безопасность, Системное администрирование, Сетевые технологии, Сетевое оборудование] Опасность при настройке SSL VPN на FortiGate
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
По информации SAM Seamless Network более 200 тысяч компаний, в которых используется SSL VPN с настройкой «из коробки», уязвимы к атакам типа MitM. Злоумышленники при подключении могут предоставить действующий SSL сертификат и обманным путем подключиться к корпоративной сети компании. Под катом представлен пример атаки, а также рекомендации по безопасной настройке SSL VPN.
«Мы быстро обнаружили, что SSL VPN, работающий с настройками по умолчанию, защищен не так, как должен быть, он уязвим для атак MitM» — заявили Нив Герц и Лиор Ташимов из SAM IoT Security Lab.
По их словам, SSL VPN клиент проверяет только то, был ли сертификат подписан компанией Fortinet (или другим доверенным CA). Таким образом, злоумышленник может предоставить сертификат, предназначенный для другого устройства FortiGate, и совершить атаку «человек посередине».
Для имитации атаки исследователи использовали скомпрометированное IoT устройство, которое запускает атаку MitM вскоре после того, как VPN клиент инициирует соединение. Далее устройство крадет учетные данные перед их передачей на FortiGate и компрометирует процесс аутентификации.
Проверка SSL сертификата, которая помогает подтвердить подлинность веб-сайта или домена работает немного другим образом. В процессе проверяется срок действия сертификата, цифровая подпись, CA, которым был выпущен данный сертификат, а также поле Subject сертификата. Если сертификат действительный, его цифровая подпись корректна, сертификат был подписан доверенным CA, а также в поле Subject содержится имя веб-сайта или домена — подключение разрешается.
Проблема, по мнению исследователей, заключается в использовании компаниями самоподписанных SSL сертификатов, которые поставляются с оборудованием по умолчанию.
Учитывая то, что каждый FortiGate поставляется с сертификатом, подписанным компанией Fortinet, этот сертификат может быть подделан третьей стороной — это даст возможность злоумышленникам захватить трафик, идущий до FortiGate и расшифровывать его содержимое. Ниже представлено видео с примером расшифровки трафика, передаваемого VPN клиентом, результатом чего стало получение пароля пользователя и его OTP.
Извините, данный ресурс не поддреживается. :(
Основная проблема заключается в том, хоть и в сертификате в качестве поля Subject используется серийный номер устройства, похоже, что клиент вообще не проверяет имя сервера, что позволяет осуществлять подобные атаки.
В настоящее время FortiGate выдает предупреждение при использовании встроенного сертификата: «Вы используете стандартный встроенный сертификат, который не сможет проверить доменное имя сервера (ваши пользователи получат предупреждение)». Рекомендуется приобрести сертификат для вашего домена и использовать его."
В заявлении, представленном The Hacker News, компания Fortinet заявила: «Безопасность наших клиентов — наш главный приоритет. Это не уязвимость. Устройства разработаны таким образом, чтобы с ними можно было легко работать из коробки, а дальше уже настраивать под индивидуальные потребности клиентов»
Также компания Fortinet настоятельно рекомендует придерживаться существующей документации и обращать внимание на все предупреждения в процессе конфигурации, чтобы не подвергать компанию риску.
Рекомендации по укреплению безопасности SSL VPN следующие:
- Используйте внешние сервера аутентификации;
- Не используйте встроенные по умолчанию сертификаты для SSL VPN;
- Используйте многофакторную аутентификацию;
- В качестве второго фактора можно использовать сертификаты пользователей;
- Определите минимальную поддерживаемую версию TLS и наборы шифров;
- Внимательно составляйте политики и профили безопасности для удаленных пользователей.
Более подробно об этих мерах безопасности можно прочитать здесь.
Мы, как интегратор, специализирующийся на решениях компании Fortinet, внимательно следим за всеми новостями, связанными с ней, и акцентируем внимание на самом важном и интересном. Чтобы ничего не пропустить, подписывайтесь на наши обновления в соц.сетях:
Группа Вконтакте
Яндекс Дзен
Наш сайт
Телеграм канал
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Социальные сети и сообщества, IT-компании] Twitter предупреждает разработчиков о возможной утечке ключей API и токенов
- [Информационная безопасность, Социальные сети и сообщества] Пользователи Instagram с красивыми никами жалуются, что сотрудники Facebook воруют их аккаунты
- [Информационная безопасность] Security Week 40: патч для уязвимости Zerologon в Windows
- [Информационная безопасность, Системное администрирование] Я смотрел свой трафик он все знал про меня (Mac os catalina)
- [Разработка систем связи, Сетевое оборудование, Сотовая связь, Финансы в IT] Российские операторы предупредили, что затраты на 5G не окупятся до 2040 года
- [DevOps, Серверная оптимизация, Системное администрирование] Практика vs Теория или зачем нужно высшее образование?
- [Гаджеты, Информационная безопасность, Программирование микроконтроллеров, Умный дом] Исследователь в рамках теста заразил умную кофеварку вымогателем и запустил на ней майнинг криптовалюты
- [Open source, Информационная безопасность, Криптография] Состоялся релиз OpenSSH 8.4
- [Информационная безопасность, Open source, Смартфоны] Почти unGoogled Android
- [Microsoft Azure, Информационная безопасность] Microsoft удалила с платформы Azure почти два десятка приложений китайских хакеров
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_sistemnoe_administrirovanie (Системное администрирование), #_setevye_tehnologii (Сетевые технологии), #_setevoe_oborudovanie (Сетевое оборудование), #_fortinet, #_fortigate, #_ssl_vpn, #_security, #_blog_kompanii_fortiservice (
Блог компании FORTISERVICE
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_sistemnoe_administrirovanie (
Системное администрирование
), #_setevye_tehnologii (
Сетевые технологии
), #_setevoe_oborudovanie (
Сетевое оборудование
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:46
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
По информации SAM Seamless Network более 200 тысяч компаний, в которых используется SSL VPN с настройкой «из коробки», уязвимы к атакам типа MitM. Злоумышленники при подключении могут предоставить действующий SSL сертификат и обманным путем подключиться к корпоративной сети компании. Под катом представлен пример атаки, а также рекомендации по безопасной настройке SSL VPN. «Мы быстро обнаружили, что SSL VPN, работающий с настройками по умолчанию, защищен не так, как должен быть, он уязвим для атак MitM» — заявили Нив Герц и Лиор Ташимов из SAM IoT Security Lab. По их словам, SSL VPN клиент проверяет только то, был ли сертификат подписан компанией Fortinet (или другим доверенным CA). Таким образом, злоумышленник может предоставить сертификат, предназначенный для другого устройства FortiGate, и совершить атаку «человек посередине». Для имитации атаки исследователи использовали скомпрометированное IoT устройство, которое запускает атаку MitM вскоре после того, как VPN клиент инициирует соединение. Далее устройство крадет учетные данные перед их передачей на FortiGate и компрометирует процесс аутентификации. Проверка SSL сертификата, которая помогает подтвердить подлинность веб-сайта или домена работает немного другим образом. В процессе проверяется срок действия сертификата, цифровая подпись, CA, которым был выпущен данный сертификат, а также поле Subject сертификата. Если сертификат действительный, его цифровая подпись корректна, сертификат был подписан доверенным CA, а также в поле Subject содержится имя веб-сайта или домена — подключение разрешается. Проблема, по мнению исследователей, заключается в использовании компаниями самоподписанных SSL сертификатов, которые поставляются с оборудованием по умолчанию. Учитывая то, что каждый FortiGate поставляется с сертификатом, подписанным компанией Fortinet, этот сертификат может быть подделан третьей стороной — это даст возможность злоумышленникам захватить трафик, идущий до FortiGate и расшифровывать его содержимое. Ниже представлено видео с примером расшифровки трафика, передаваемого VPN клиентом, результатом чего стало получение пароля пользователя и его OTP. Извините, данный ресурс не поддреживается. :( Основная проблема заключается в том, хоть и в сертификате в качестве поля Subject используется серийный номер устройства, похоже, что клиент вообще не проверяет имя сервера, что позволяет осуществлять подобные атаки. В настоящее время FortiGate выдает предупреждение при использовании встроенного сертификата: «Вы используете стандартный встроенный сертификат, который не сможет проверить доменное имя сервера (ваши пользователи получат предупреждение)». Рекомендуется приобрести сертификат для вашего домена и использовать его." В заявлении, представленном The Hacker News, компания Fortinet заявила: «Безопасность наших клиентов — наш главный приоритет. Это не уязвимость. Устройства разработаны таким образом, чтобы с ними можно было легко работать из коробки, а дальше уже настраивать под индивидуальные потребности клиентов» Также компания Fortinet настоятельно рекомендует придерживаться существующей документации и обращать внимание на все предупреждения в процессе конфигурации, чтобы не подвергать компанию риску. Рекомендации по укреплению безопасности SSL VPN следующие:
Более подробно об этих мерах безопасности можно прочитать здесь. Мы, как интегратор, специализирующийся на решениях компании Fortinet, внимательно следим за всеми новостями, связанными с ней, и акцентируем внимание на самом важном и интересном. Чтобы ничего не пропустить, подписывайтесь на наши обновления в соц.сетях: Группа Вконтакте Яндекс Дзен Наш сайт Телеграм канал =========== Источник: habr.com =========== Похожие новости:
Блог компании FORTISERVICE ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_sistemnoe_administrirovanie ( Системное администрирование ), #_setevye_tehnologii ( Сетевые технологии ), #_setevoe_oborudovanie ( Сетевое оборудование ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:46
Часовой пояс: UTC + 5