带有默认SSL证书的Fortinet VPN使20万个企业面临黑客攻击

  根据SAM Seamless Network,超过20万个企业使用默认设置的Fortigate VPN,使他们面临黑客攻击的风险。

  为了应对冠状病毒在世界各地的传播,许多组织部署了VPN解决方案,包括Fortigate VPN,以允许雇主在家工作。

  VPN解决方案的配置对于保证组织的安全和避免危险的意外非常重要。



  根据网络安全平台提供商SAM Seamless Network,超过20万个企业已经部署了具有默认设置的Fortigate VPN解决方案。这种选择允许攻击者提供有效的SSL证书,并对员工的连接执行中间人(MitM)攻击。

  “令人惊讶(或者不是?),我们很快发现,在默认配置下,sslvpn没有得到应有的保护,很容易受到MITM攻击。“Fortigate SSL-VPN客户端只验证CA是由Fortigate(或其他受信任的CA)颁发的,因此攻击者可以轻松地将颁发给不同Fortigate路由器的证书呈现出来,而无需升起任何标志,并实施中间人攻击。我们在几分钟内搜索并找到了20多万家易受攻击的企业。”

  专家指出,Fortigate SSL-VPN客户端只验证CA是由Fortigate或另一个可信CA颁发的,这使得攻击者可以出示颁发给不同Fortigate路由器的证书来实施中间人攻击。

  研究人员设置了一个受损的物联网设备,利用ARP中毒启动MITM攻击,然后Forticlient启动VPN连接。受损的IoT设备提供从旧凭证中提取的签名Fortinet证书,并将凭证转发给原始服务器,同时在中间窃取凭证并欺骗认证过程。


  SSL数字证书包括几个值,例如:

  服务器名称–颁发此SSL证书的服务器的名称

  公钥–用于加密到此服务器的流量的公钥

  数字签名–验证此SLL证书是由合法机构颁发的数字签名。

  有效期–本SSL证书有效期截止日期

  颁发者信息–有关SSL证书颁发者的信息(与签署SSL证书的实体相同)


  每次客户端连接到服务器时,客户端都会验证以下信息:


  SSL证书的服务器名称与客户端尝试连接的服务器匹配

  SSL证书有效期未过

  SSL证书的数字签名正确

  SSL证书是由此客户端信任的颁发机构颁发的


  主要问题与组织使用默认的自签名SSL证书有关。


  Fortigate路由器附带一个由Fortinet签名的默认SSL证书,这是一个自签名SSL证书,其中包含路由器的序列号作为SSL证书的服务器名称。

  专家强调,Fortinet的客户端根本不验证服务器名称,这意味着任何由Fortinet或任何其他可信CA颁发的证书都将被接受。攻击者可以将流量重新路由到其服务器,显示自己的证书,然后在攻击的视频PoC下解密流量。

  不幸的是,Fortinet没有解决该漏洞的计划,它建议用户手动替换默认证书,并确保连接不受MitM攻击。

  目前,当用户使用默认证书时,Fortinet会发出警告。

  “您使用的是默认的内置证书,它将无法验证服务器的域名(您的用户将看到一个警告)。建议您为您的域购买一个SSL证书并上载以供使用。

  【参考来源:securityaffairs.co】