Vpn-software van netwerkfabrikant Fortinet heeft opgeslagen inloggegevens niet goed beveiligd, waardoor ongeautoriseerde gebruikers of aanvallers er toegang toe hadden kunnen krijgen, zo laat securitybedrijf SEC Consult weten. Het gaat om de FortiClient vpn-software, die bij Linux en macOS inloggegevens voor het vpn in een configuratiebestand opslaat. Bij Windows worden de gegevens in het Register opgeslagen.
De inloggegevens zijn wel versleuteld opgeslagen, maar kunnen nog steeds worden achterhaald omdat de decryptiesleutel hardcoded in de software is en voor alle installaties dezelfde sleutel wordt gebruikt. Daarnaast zijn de locaties met de vpn-gegevens "world readable". Door deze twee zaken te combineren kan een aanvaller het wachtwoord stelen van elke gebruiker die een FortiClient-profiel op het systeem heeft.
In een zakelijke omgeving waar werknemers vaak met domeingegevens op de vpn-server inloggen, zou een kwaadwillende werknemer de inloggegevens van collega's kunnen stelen door in te loggen op het werkstation waar de inloggegevens zijn opgeslagen. Fortinet heeft voor FortiClient op Linux, macOS en Windows updates uitgebracht.
Deze posting is gelocked. Reageren is niet meer mogelijk.