25.000 Fortinet-apparaten kwetsbaar voor DUHK-aanval
Meer dan 25.000 Fortinet-apparaten die voor vpn-verbindingen worden gebruikt en via internet bereikbaar zijn, zijn kwetsbaar voor een nieuwe cryptografische aanval genaamd DUHK waardoor aanvallers passief vpn-verbindingen kunnen ontsleutelen en zo het verkeer kunnen lezen.
DUHK staat voor Don't Use Hard-coded Keys en is ontwikkeld door Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University, in samenwerking met Nadia Heninger en Shaanan Cohney. De kwetsbaarheid doet zich voor bij de de ANSI X9.31 Random Number Generator (RNG) in combinatie met een hard-coded seed key. De ANSI X9.31 RNG is een meer dan 20 jaar oud algoritme dat tot voor kort werd gebruikt om cryptografische sleutels te genereren die worden gebruikt om vpn-verbindingen en websessies te beveiligen, zodat derde partijen die niet kunnen onderscheppen.
Via de DUHK-aanval kan een aanvaller van kwetsbare implementaties de geheime encryptiesleutel achterhalen en zo het verkeer van vpn-verbindingen en websessies ontsleutelen en lezen. Het kan dan gaan om gevoelige informatie, zoals bedrijfsgegevens, inloggegevens, creditcardgegevens en andere vertrouwelijke content. De ANSI X9.31 RNG wordt in veel door overheden gecertificeerde producten gebruikt. Tot vorig jaar was ANSI X9.31 RNG één van de vier door de Verenigde Staten goedgekeurde nummergeneratoren voor gebruik in cryptografische modules. Inmiddels is het echter van de lijst verwijderd.
Netwerkfabrikant Fortinet maakte gebruik van deze kwetsbare nummergenerator. Het gaat om apparaten met FortiOS 4.x. Alle vpn-apparaten van Fortinet met FortiOS 4.3.0 tot en met FortiOS 4.3.18 kunnen door een passieve netwerkaanvaller, die het versleutelde handshake-verkeer kan waarnemen, worden ontsleuteld. Fortinet heeft met FortiOS 4.3.19 al vorig jaar een update uitgebracht die het probleem verhelpt. Volgens Green zijn er op internet echter meer dan 25.000 kwetsbare vpn-apparaten te vinden. De hoogleraar stelt dat het om een 'conservatief aantal' gaat, aangezien alleen machines werden geteld die op de scans van de onderzoekers reageerden. De onderzoekers hebben een document met hun bevindingen gepubliceerd (pdf) maar zullen de aanvalscode niet openbaar maken.
Slachtoffer rol much.
Slachtoffer rol much.
Oh, ik maakte een rekenfout, alles is natuurlijk minimaal 1x redundant dus slecht 12500 professionals dus hun management niet hebben kunnen overtuigen van de noodzaak tot patchen.
Dus de ongeschiktheid blijft maar dan vanwege het gebrek aan overtuigingskracht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.