Fortinet vpn-software gebruikte hardcoded decryptiesleutel
Vpn-software van netwerkfabrikant Fortinet heeft opgeslagen inloggegevens niet goed beveiligd, waardoor ongeautoriseerde gebruikers of aanvallers er toegang toe hadden kunnen krijgen, zo laat securitybedrijf SEC Consult weten. Het gaat om de FortiClient vpn-software, die bij Linux en macOS inloggegevens voor het vpn in een configuratiebestand opslaat. Bij Windows worden de gegevens in het Register opgeslagen.
De inloggegevens zijn wel versleuteld opgeslagen, maar kunnen nog steeds worden achterhaald omdat de decryptiesleutel hardcoded in de software is en voor alle installaties dezelfde sleutel wordt gebruikt. Daarnaast zijn de locaties met de vpn-gegevens "world readable". Door deze twee zaken te combineren kan een aanvaller het wachtwoord stelen van elke gebruiker die een FortiClient-profiel op het systeem heeft.
In een zakelijke omgeving waar werknemers vaak met domeingegevens op de vpn-server inloggen, zou een kwaadwillende werknemer de inloggegevens van collega's kunnen stelen door in te loggen op het werkstation waar de inloggegevens zijn opgeslagen. Fortinet heeft voor FortiClient op Linux, macOS en Windows updates uitgebracht.
Waarschijnlijk is het world readable opslaan van "versleutelde" authenticatiegegevens hier de grootste zonde. Ik schrijf "versleuteling" tussen aanhalingstekens, want versleuteling met de sleutel op hetzelfde systeem, ook al is deze uniek per installatie, is natuurlijk niks meer dan nauwelijks zinvolle obfuscatie - tenzij die unieke sleutel niet world-readable is opgeslagen. Maar ook in dat laatste geval geldt dat als een account gecompromitteerd raakt, je er vanuit moet gaan dat de VPN client credentials gestolen kunnen zijn.
De beste "software-only" methode die ik ken is, net als bij PGP, om VPN credentials versleuteld met een wachtwoord op het systeem op te slaan. Dan kan een aanvaller, in het geval van een gecompromitteerd account, pas bij die credentials (en/of de VPN verbinding opzetten in naam van de gebruiker) nadat de gebruiker het wachtwoord daarvoor heeft ingevoerd.
Nog veiliger is die credentials op een smartcard o.i.d. opslaan, maar daar is aanvullende hardware voor nodig (niet zelden met compatibiliteitsproblemen).
Gelukkig ben ik dan geen klant bij dit bedrijf.
Ik gebruik wel al altijd vpn maar dat bij een ander bedrijf.
Gelukkig ben ik dan geen klant bij dit bedrijf.
Ik gebruik wel al altijd vpn maar dat bij een ander bedrijf.
Indien jouw VPN aanbieder ook Fortinet's gebruikt kan je sleutel dus gestolen zijn. Doe maar navraag bij je VPN provider zou ik zeggen.
Gelukkig ben ik dan geen klant bij dit bedrijf.
Ik gebruik wel al altijd vpn maar dat bij een ander bedrijf.
Indien jouw VPN aanbieder ook Fortinet's gebruikt kan je sleutel dus gestolen zijn. Doe maar navraag bij je VPN provider zou ik zeggen.
Hier zie je weer de bekende spraakverwarring rond de naam VPN!
Wat veel mensen tegenwoordig onder VPN verstaan is gewoon een tunnel naar internet via een of andere aanbieder die
beweert dat ie niks logt en niks aan de boze autoriteiten vertelt (een fopspeen, maar dat is wat anders...).
Echter de originele toepassing van VPN (en de markt waarin Fortinet werkt) is het maken van een verbinding tussen twee
netwerken via een ander (open) netwerk zoals internet. Bijvoorbeeld om twee bedrijfspanden te koppelen of om thuis te
werken op het netwerk van de zaak.
Gelukkig ben ik dan geen klant bij dit bedrijf.
Ik gebruik wel al altijd vpn maar dat bij een ander bedrijf.
Indien jouw VPN aanbieder ook Fortinet's gebruikt kan je sleutel dus gestolen zijn. Doe maar navraag bij je VPN provider zou ik zeggen.
Hier zie je weer de bekende spraakverwarring rond de naam VPN!
Wat veel mensen tegenwoordig onder VPN verstaan is gewoon een tunnel naar internet via een of andere aanbieder die
beweert dat ie niks logt en niks aan de boze autoriteiten vertelt (een fopspeen, maar dat is wat anders...).
Echter de originele toepassing van VPN (en de markt waarin Fortinet werkt) is het maken van een verbinding tussen twee
netwerken via een ander (open) netwerk zoals internet. Bijvoorbeeld om twee bedrijfspanden te koppelen of om thuis te
werken op het netwerk van de zaak.
In dit geval zijn het wel degelijk de desktop clients waar het over gaat:
FortiClient for Linux, Mac OSX and Windows stores encrypted VPN authentication credentials in improperly secured locations; regular users may therefore be able to see each other’s encrypted credentials. This is an issue, because the key used to encrypt the aforementioned credentials may be retrieved from the binary.
Maar je hebt een punt(je), VPN implementaties zijn er op vele manieren mogelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
