Laut SAM Seamless Network sind mehr als 200.000 Unternehmen, die SSL VPN sofort verwenden, anfällig für Angriffe wie MitM. Angreifer können beim Herstellen einer Verbindung ein gültiges SSL-Zertifikat und Tricks im Unternehmensnetzwerk des Unternehmens bereitstellen. Ein Beispiel für einen Angriff sowie Empfehlungen zum sicheren Einrichten eines SSL-VPN finden Sie unter dem Schnitt.
"Wir haben schnell festgestellt, dass das Standard-SSL-VPN nicht so sicher ist, wie es sein sollte, und anfällig für MitM-Angriffe ist", so Niv Hertz und Lior Tashimov vom SAM IoT Security Lab.
Demnach prüft der SSL-VPN-Client nur, ob das Zertifikat von Fortinet (oder einer anderen vertrauenswürdigen Zertifizierungsstelle) signiert wurde. Auf diese Weise kann ein Angreifer ein Zertifikat für ein anderes FortiGate bereitstellen und einen Man-in-the-Middle-Angriff starten.
Um den Angriff zu simulieren, verwendeten die Forscher ein kompromittiertes IoT-Gerät, das kurz nach dem Herstellen einer Verbindung durch den VPN-Client einen MitM-Angriff startet. Das Gerät stiehlt dann Anmeldeinformationen, bevor diese an FortiGate übertragen werden, und gefährdet den Authentifizierungsprozess.
Die Überprüfung von SSL-Zertifikaten, mit deren Hilfe eine Website oder Domain authentifiziert werden kann, funktioniert etwas anders. Der Prozess überprüft die Gültigkeit des Zertifikats, die digitale Signatur, die Zertifizierungsstelle, die dieses Zertifikat ausgestellt hat, und das Feld Betreff des Zertifikats. Wenn das Zertifikat gültig ist, seine digitale Signatur korrekt ist, das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde und das Feld Betreff den Namen der Website oder Domain enthält - die Verbindung ist zulässig.
Laut Forschern besteht das Problem darin, dass Unternehmen selbstsignierte SSL-Zertifikate verwenden, die standardmäßig mit der Hardware geliefert werden.
Da jedes FortiGate mit einem von Fortinet signierten Zertifikat geliefert wird, kann dieses Zertifikat von Dritten manipuliert werden, sodass Angreifer den Datenverkehr zu FortiGate erfassen und dessen Inhalt entschlüsseln können. Unten sehen Sie ein Video mit einem Beispiel für die Entschlüsselung des vom VPN-Client übertragenen Datenverkehrs, bei dem das Kennwort des Benutzers und sein OTP empfangen wurden.
Das Hauptproblem besteht darin, dass, obwohl die Seriennummer des Geräts als Betrefffeld im Zertifikat verwendet wird, der Client den Servernamen anscheinend überhaupt nicht überprüft, wodurch solche Angriffe ausgeführt werden können.
Derzeit gibt FortiGate bei Verwendung eines eingebetteten Zertifikats eine Warnung aus: "Sie verwenden ein eingebettetes Standardzertifikat, das den Domänennamen des Servers nicht überprüfen kann (Ihre Benutzer erhalten eine Warnung)." Es wird empfohlen, ein Zertifikat für Ihre Domain zu erwerben und es zu verwenden. "
In einer Erklärung gegenüber The Hacker News sagte Fortinet: „Die Sicherheit unserer Kunden hat für uns oberste Priorität. Dies ist keine Sicherheitslücke. Die Geräte sind so konzipiert, dass sie sofort einsatzbereit sind und sich dann an die individuellen Kundenanforderungen anpassen lassen. “
Fortinet empfiehlt außerdem dringend, die vorhandene Dokumentation einzuhalten und alle Warnungen während des Konfigurationsprozesses zu beachten, um das Unternehmen nicht zu gefährden.
Die Empfehlungen zum Härten von SSL-VPN lauten wie folgt:
- Verwenden Sie externe Authentifizierungsserver.
- Verwenden Sie nicht die integrierten Standard-SSL-VPN-Zertifikate.
- Verwenden Sie die Multi-Faktor-Authentifizierung.
- Benutzerzertifikate können als zweiter Faktor verwendet werden.
- Bestimmen Sie die minimal unterstützte TLS-Version und die Cipher Suites.
- Erstellen Sie sorgfältig Sicherheitsrichtlinien und -profile für Remotebenutzer.
Weitere Informationen zu diesen Sicherheitsmaßnahmen finden Sie hier .
Als auf Fortinet-Lösungen spezialisierter Integrator verfolgen wir alle diesbezüglichen Neuigkeiten genau und konzentrieren uns auf die wichtigsten und interessantesten. Um nichts zu verpassen, abonnieren Sie unsere Updates in sozialen Netzwerken:
→ Vkontakte-Gruppe
→ Yandex Zen
→ Unsere Website
→ Telegrammkanal