De netwerkapparatuur van beveiligingsbedrijf Fortinet, waarmee bedrijven hun netwerkverkeer kunnen monitoren, bevat op elk apparaat hetzelfde certificaat en sleutels, waardoor aanvallers al het verkeer kunnen afluisteren. Het gaat om de Fortigate Deep Pack Inspection apparaten van Fortinet. Die beschikken allemaal over een zelfgesigneerd Fortigate CA certificaat en bijbehorende privésleutel, die nu is gecompromitteerd.
Daardoor kunnen aanvallers nu zelf certificaten met de Fortigate CA signeren. Bedrijven die deze apparaten gebruiken hebben het Fortigate CA-certificaat waarschijnlijk op de browsers van de endpoints geïnstalleerd. Daardoor krijgen werknemers geen certificaatwaarschuwingen te zien en kan het bedrijf toch al het versleutelde verkeer bekijken.
Een aanvaller die een man-in-the-middle positie in het netwerk kan innemen, kan zo het gedrag van de Fortigate appliance nabootsen en al het versleutelde verkeer afluisteren of websites spoofen. Ook zou de malware kwaadaardige software kunnen signeren met de identiteit van de uitgever.
Advies
Fortinet adviseert systeembeheerders om een CA-certificaat te maken of verkrijgen waarvoor alleen zij de privésleutel hebben. Een soortgelijk probleem werd eerder bij een andere DPI-leverancier ontdekt, genaamd Cyberoam. Een paar dagen later rapporteerde Security.nl-lezer Bitwiper op het forum dat mogelijk ook Fortinet kwetsbaar was.
Het Amerikaanse Computer Emergency Readiness Team (US-CERT) heeft het probleem bevestigd en bedankt Bitwiper in de advisory.
Deze posting is gelocked. Reageren is niet meer mogelijk.