Standaardconfiguratie Fortigate VPN kwetsbaar voor MITM-aanvallen
Onderzoekers van het beveiligingsbedrijf Sam Seamless Network hebben de Fortigate VPN-client van Fortinet onder de loep genomen. Daarbij ontdekten ze dat Fortigate, in de standaardconfiguratie, kwetsbaar is voor MITM-aanvallen. Een zoektocht van de onderzoekers op shodan.io leverde zeker 200.000 apparaten op met een standaardconfiguratie.
Het beveiligingsprobleem zit in de SSL-verificatie. De Fortigate router wordt geleverd met een standaard SSL-certificaat dat is ondertekend door Fortinet (self-signed). Elke Fortigate-server heeft een eigen certificaat dat het serienummer van de router gebruikt als servernaam voor het certificaat. Hierdoor heeft Fortinet voldoende informatie om te controleren of het certificaat is uitgegeven aan dezelfde server waar de client verbinding mee probeert te maken.
Alleen verifieert de client van Fortinet de servernaam helemaal niet. Het apparaat accepteer elk certificaat zolang het maar geldig is en het is uitgegeven door Fortinet of een andere vertrouwde CA. Een aanvaller kan het verkeer eenvoudig omleiden naar zijn server, zijn eigen certificaat gebruiken en vervolgens het dataverkeer onderscheppen.
Uiteraard heeft het bedrijf Fortinet geconfronteerd met deze bevindingen. Fortinet zegt hiervan al op de hoogte te zijn geweest. Volgens het technologiebedrijf is het de verantwoordelijkheid van de gebruiker om zelf handmatig het certificaat te wijzigen. De onderzoekers vrezen echter dat kleinere bedrijven mogelijk niet de kennis of tijd hebben om dit zelf te doen.
Dit soort bedrijven zal ook niet snel een Fortigate inzetten, daarbij krijg je een grote rode melding dat je een self-signed certificaat gebruikt met instellen van de VPN, ook met verbinden moet je specifiek aanklikken dat je het certificaat vertrouwd en nog eens extra als je geen melding meer hier over wil hebben.
Als je 3x de waarschuwing negeert had je in deze tijd ook een geldig certificaat kunnen installeren :)
Maar ja mensen zijn zo haasig en willen alles panklaar,gemakkelijk zonder zich ergens in te verdiepen.
Overigens heeft Fortinet een dramatisch verleden op dit punt (zie o.a. https://www.security.nl/posting/38728/Verkeer+Fortigate+DPI-apparaten+af+te+luisteren). Ze snappen het kennelijk nog steeds niet.
Dit soort bedrijven zal ook niet snel een Fortigate inzetten, daarbij krijg je een grote rode melding dat je een self-signed certificaat gebruikt met instellen van de VPN, ook met verbinden moet je specifiek aanklikken dat je het certificaat vertrouwd en nog eens extra als je geen melding meer hier over wil hebben.
Als je 3x de waarschuwing negeert had je in deze tijd ook een geldig certificaat kunnen installeren :)
Bij ons is de fortigate door een extern bedrijf uitgerold, zij zeiden hierin gespecialiseerd te zijn. Maar wij gebruikten tot gister wel het standaard certificaat. Dus het komt zeker wel voor.
Maar ja mensen zijn zo haasig en willen alles panklaar,gemakkelijk zonder zich ergens in te verdiepen.
Je leest niet goed. Wellicht toch wat haastig. Ieder certificaat wordt geaccepteerd, zolang het maar uit een soortgelijke omgeving komt. Dat is onverwacht gedrag en als je dus netjes je omgeving met een certificaat beschermd hebt, blijkt de boel nu toch open te staan voor iedereen die zelf ook aan een soortgelijk certificaat kan komen. Dat is niet hoe certificaten horen te werken.
Daaruit blijkt dat VPN-client gebruikers een waarschuwing krijgen indien:
- Het default Fortinet certificaat gebruikt wordt
- In de VPN-client het IP-adres (i.p.v. publieke domeinnaam) van de Fortigate is geconfigureerd
- Als de juiste publieke domeinnaam van de Fortigate is geconfigureerd: indien een publiek certificaat wordt aangeboden waarin die domeinnaam niet overeenkomt met de geconfigureerde domeinnaam
Echter, zo'n waarschuwing:
- Kan de gebruiker wegklikken waarna de verbinding toch tot stand komt (mogelijk met een MitM i.p.v. de FortiGate)
- Kan de gebruiker voortaan voorkomen door een vinkje te zetten ("irriteer mij niet meer met certificaatwaarschuwingen")
Tevens leg ik in die pagina (direct link: https://security.nl/posting/672760) uit waarom het instellen van 2FA je waarschijnlijk niet beschermt tegen MitM aanvallen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.