Твитнуть
В мае 2018 года ИБ-специалист из SEC Consult Штефан Фибек (Stefan Viehböck) обнаружил проблемы в трех продуктах компании Fortinet. Оказалось, что в составе FortiOS for FortiGate и антивируса FortiClient для Mac и Windows использовался слабый шифр (XOR), а также содержались жестко закодированные ключи для связи с различными облачными сервисами.
Так, эти ключи использовались для шифрования пользовательского трафика во время работы функций веб-фильтра, антиспама и антивируса в FortiGuard. В итоге злоумышленник, имеющий возможность следить за трафиком пользователя или компании, мог использовать жестко закодированные ключи и расшифровать этот поток данных. В таком случае в руках атакующего могли оказаться:
полные HTTP- или HTTPS-ссылки, посещенные пользователями, которые проверяются функцией Web Filter;
данные электронной почты, которые проходят тестирование через AntiSpam;
антивирусные данные, что передаются для тестирования в облако Fortinet.
Также злоумышленник имел возможность использовать ключи для изменения и повторного шифрования ответов сервера, что, например, позволяло исказить предупреждения об обнаружении малвари или опасных URL-адресов.
Как было сказано выше, исправление этих проблем заняло немало времени. Так, инженеры Fortinet удалили ключ из последних версий FortiOS только в марте 2019 года, через десять месяцев после обнаружения бага. Еще восемь месяцев потребовалось, чтобы удалить ключи из старых версий, а последний патч и вовсе был выпущен только в ноябре 2019 года.
Теперь пользователям рекомендуется как можно скорее обновить FortiOS до версий 6.0.7 или 6.2.0, FortiClientWindows до версии 6.2.0 и FortiClientMac до версии 6.2.2.
Так, эти ключи использовались для шифрования пользовательского трафика во время работы функций веб-фильтра, антиспама и антивируса в FortiGuard. В итоге злоумышленник, имеющий возможность следить за трафиком пользователя или компании, мог использовать жестко закодированные ключи и расшифровать этот поток данных. В таком случае в руках атакующего могли оказаться:
полные HTTP- или HTTPS-ссылки, посещенные пользователями, которые проверяются функцией Web Filter;
данные электронной почты, которые проходят тестирование через AntiSpam;
антивирусные данные, что передаются для тестирования в облако Fortinet.
Также злоумышленник имел возможность использовать ключи для изменения и повторного шифрования ответов сервера, что, например, позволяло исказить предупреждения об обнаружении малвари или опасных URL-адресов.
Как было сказано выше, исправление этих проблем заняло немало времени. Так, инженеры Fortinet удалили ключ из последних версий FortiOS только в марте 2019 года, через десять месяцев после обнаружения бага. Еще восемь месяцев потребовалось, чтобы удалить ключи из старых версий, а последний патч и вовсе был выпущен только в ноябре 2019 года.
Теперь пользователям рекомендуется как можно скорее обновить FortiOS до версий 6.0.7 или 6.2.0, FortiClientWindows до версии 6.2.0 и FortiClientMac до версии 6.2.2.