4006-555-883

超20万个企业面临黑客攻击 ?原来都是因为它!——自签名SSL证书

发布时间:2020-09-29 11:33:00

  为了应对冠状病毒在世界各地的传播,许多组织部署了VPN解决方案,包括Fortigate VPN,以允许雇主在家工作。VPN解决方案的配置对于保证组织的安全和避免危险的意外非常重要。

  根据网络安全平台提供商SAM Seamless Network统计,超过20万个企业已经部署了具有默认设置的Fortigate VPN解决方案。这种选择允许攻击者提供有效的SSL证书,并对员工的连接执行中间人(MitM)攻击。



  “令人惊讶(或者不是? ),我们很快发现,在默认配置下,sslvpn没有得到应有的保护,很容易受到MITM攻击。Fortigate SSL-VPN客户端只验证CA是由Fortigate(或其他受信任的CA)颁发的,因此攻击者可以轻松地将颁发给不同Fortigate路由器的证书呈现出来,而无需升起任何标志,并实施中间人攻击。我们在几分钟内搜索并找到了20多万家易受攻击的企业。”

  专家指出,Fortigate SSL-VPN客户端只验证CA是由Fortigate或另一个可信CA颁发的,这使得攻击者可以出示颁发给不同Fortigate路由器的证书来实施中间人攻击。


  主要问题与自签名SSL证书有关

  Fortigate路由器附带一个由Fortinet签名的默认SSL证书,这是一个自签名证书,其中包含路由器的序列号作为证书的服务器名称。


  什么是自签名SSL证书?

  自签名SSL证书,一般是指由不受信任的任意机构或个人,使用工具自己签发的SSL证书。这些不受信任的机构和个人因为不受任何第三方的监督和审核,所以可以随意签发自签名SSL证书,但其签发的SSL证书也不被浏览器和操作系统所信任,所以经常被不法分子用于伪造证书进行中间人攻击。


  自签名SSL证书容易被假冒和伪造


  因为自签名SSL证书是可以随意签发的,如果你的网站使用的是自签名SSL证书,那不法分子完全可以通过伪造一张相同的自签名证书,用于制作假冒钓鱼网站,这使得网站用户无法分辨出真假网站,上当受骗。

  而第三方权威机构在签发SSL证书时,需要对申请企业的真实身份进行验证,不存在随意签发SSL证书的现象,不法分子难以伪造假冒。而部署了受信任的SSL证书的网站,用户在访问网站时浏览器便会识别SSL证书的真实信息和证书状态,如果网站SSL证书配置的域名与实际的域名不符,或者出现证书已过期等其它情况时,浏览器都会提醒用户“此网站安全证书存在问题”进行警告,令假冒网站无处藏身!


  专家强调,Fortinet的客户端根本不验证服务器名称,这意味着任何由Fortinet或任何其他可信CA颁发的证书都将被接受。攻击者可以将流量重新路由到其服务器,显示自己的证书,然后在攻击的视频PoC下解密流量。

  不幸的是,Fortinet没有解决该漏洞的计划,它建议用户手动替换默认证书,并确保连接不受MitM攻击。

  目前,当用户使用默认证书时,Fortinet会发出警告。

  “您使用的是默认的内置证书,它将无法验证服务器的域名(您的用户将看到一个警告)。建议您为您的域购买一个证书并上载以供使用。


  【参考来源:securityaffairs.co;图片来源于网络,侵删】

最新发布
1
小威开讲啦 | Nginx如何实现OCSPStapling
2
小威开讲啦 | 如何修复 POODLE SSLv3 安全漏洞 (CVE-2014-3566)
3
HTTPS证书如何选择?
4
不用怀疑!SSL证书国产化已成必然趋势
5
为什么国家一直大力推行国密SSL证书?
6
原来除企业网站外,这些场景全都需要SSL证书……
7
请查收这份国密SSL改造方案,超200家头部企业用了都说好!
8
隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”
9
信息泄露成网络诈骗犯罪源头,SSL证书为敏感信息穿上“防护衣”
10
怕过期?怕麻烦?你需要SSL证书订阅模式!
相关推荐
小威开讲啦 | Nginx如何实现OCSPStapling
不用怀疑!SSL证书国产化已成必然趋势
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
怕过期?怕麻烦?你需要SSL证书订阅模式!
隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”
HTTPS证书如何选择?
请查收这份国密SSL改造方案,超200家头部企业用了都说好!
信息泄露成网络诈骗犯罪源头,SSL证书为敏感信息穿上“防护衣”
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
为什么国家一直大力推行国密SSL证书?