image

Fortinet vpn-software gebruikte hardcoded decryptiesleutel

vrijdag 15 december 2017, 11:37 door Redactie, 5 reacties

Vpn-software van netwerkfabrikant Fortinet heeft opgeslagen inloggegevens niet goed beveiligd, waardoor ongeautoriseerde gebruikers of aanvallers er toegang toe hadden kunnen krijgen, zo laat securitybedrijf SEC Consult weten. Het gaat om de FortiClient vpn-software, die bij Linux en macOS inloggegevens voor het vpn in een configuratiebestand opslaat. Bij Windows worden de gegevens in het Register opgeslagen.

De inloggegevens zijn wel versleuteld opgeslagen, maar kunnen nog steeds worden achterhaald omdat de decryptiesleutel hardcoded in de software is en voor alle installaties dezelfde sleutel wordt gebruikt. Daarnaast zijn de locaties met de vpn-gegevens "world readable". Door deze twee zaken te combineren kan een aanvaller het wachtwoord stelen van elke gebruiker die een FortiClient-profiel op het systeem heeft.

In een zakelijke omgeving waar werknemers vaak met domeingegevens op de vpn-server inloggen, zou een kwaadwillende werknemer de inloggegevens van collega's kunnen stelen door in te loggen op het werkstation waar de inloggegevens zijn opgeslagen. Fortinet heeft voor FortiClient op Linux, macOS en Windows updates uitgebracht.

Reacties (5)
15-12-2017, 13:03 door Bitwiper
Prutsers. Niet de eerste keer trouwens dat Fortinet software een sleutel gebruikt die in alle installaties hetzelfde is (https://www.security.nl/posting/37180/Fortinet+SSL+DPI+ook+lek+%28net+als+Cyberoam%29%3F).

Waarschijnlijk is het world readable opslaan van "versleutelde" authenticatiegegevens hier de grootste zonde. Ik schrijf "versleuteling" tussen aanhalingstekens, want versleuteling met de sleutel op hetzelfde systeem, ook al is deze uniek per installatie, is natuurlijk niks meer dan nauwelijks zinvolle obfuscatie - tenzij die unieke sleutel niet world-readable is opgeslagen. Maar ook in dat laatste geval geldt dat als een account gecompromitteerd raakt, je er vanuit moet gaan dat de VPN client credentials gestolen kunnen zijn.

De beste "software-only" methode die ik ken is, net als bij PGP, om VPN credentials versleuteld met een wachtwoord op het systeem op te slaan. Dan kan een aanvaller, in het geval van een gecompromitteerd account, pas bij die credentials (en/of de VPN verbinding opzetten in naam van de gebruiker) nadat de gebruiker het wachtwoord daarvoor heeft ingevoerd.

Nog veiliger is die credentials op een smartcard o.i.d. opslaan, maar daar is aanvullende hardware voor nodig (niet zelden met compatibiliteitsproblemen).
15-12-2017, 14:03 door Anoniem
Dit zet dit bedrijf wel in een kwaad daglicht want dit is zeer ernstig,ze moeten er ook meteen wat aan doen en al hun software of wat dan ook updaten.
Gelukkig ben ik dan geen klant bij dit bedrijf.
Ik gebruik wel al altijd vpn maar dat bij een ander bedrijf.
15-12-2017, 19:24 door Anoniem
Door Anoniem: Dit zet dit bedrijf wel in een kwaad daglicht want dit is zeer ernstig,ze moeten er ook meteen wat aan doen en al hun software of wat dan ook updaten.
Gelukkig ben ik dan geen klant bij dit bedrijf.
Ik gebruik wel al altijd vpn maar dat bij een ander bedrijf.

Indien jouw VPN aanbieder ook Fortinet's gebruikt kan je sleutel dus gestolen zijn. Doe maar navraag bij je VPN provider zou ik zeggen.
16-12-2017, 10:23 door Anoniem
Door Anoniem:
Door Anoniem: Dit zet dit bedrijf wel in een kwaad daglicht want dit is zeer ernstig,ze moeten er ook meteen wat aan doen en al hun software of wat dan ook updaten.
Gelukkig ben ik dan geen klant bij dit bedrijf.
Ik gebruik wel al altijd vpn maar dat bij een ander bedrijf.

Indien jouw VPN aanbieder ook Fortinet's gebruikt kan je sleutel dus gestolen zijn. Doe maar navraag bij je VPN provider zou ik zeggen.

Hier zie je weer de bekende spraakverwarring rond de naam VPN!
Wat veel mensen tegenwoordig onder VPN verstaan is gewoon een tunnel naar internet via een of andere aanbieder die
beweert dat ie niks logt en niks aan de boze autoriteiten vertelt (een fopspeen, maar dat is wat anders...).
Echter de originele toepassing van VPN (en de markt waarin Fortinet werkt) is het maken van een verbinding tussen twee
netwerken via een ander (open) netwerk zoals internet. Bijvoorbeeld om twee bedrijfspanden te koppelen of om thuis te
werken op het netwerk van de zaak.
17-12-2017, 13:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dit zet dit bedrijf wel in een kwaad daglicht want dit is zeer ernstig,ze moeten er ook meteen wat aan doen en al hun software of wat dan ook updaten.
Gelukkig ben ik dan geen klant bij dit bedrijf.
Ik gebruik wel al altijd vpn maar dat bij een ander bedrijf.

Indien jouw VPN aanbieder ook Fortinet's gebruikt kan je sleutel dus gestolen zijn. Doe maar navraag bij je VPN provider zou ik zeggen.

Hier zie je weer de bekende spraakverwarring rond de naam VPN!
Wat veel mensen tegenwoordig onder VPN verstaan is gewoon een tunnel naar internet via een of andere aanbieder die
beweert dat ie niks logt en niks aan de boze autoriteiten vertelt (een fopspeen, maar dat is wat anders...).
Echter de originele toepassing van VPN (en de markt waarin Fortinet werkt) is het maken van een verbinding tussen twee
netwerken via een ander (open) netwerk zoals internet. Bijvoorbeeld om twee bedrijfspanden te koppelen of om thuis te
werken op het netwerk van de zaak.

In dit geval zijn het wel degelijk de desktop clients waar het over gaat:
FortiClient for Linux, Mac OSX and Windows stores encrypted VPN authentication credentials in improperly secured locations; regular users may therefore be able to see each other’s encrypted credentials. This is an issue, because the key used to encrypt the aforementioned credentials may be retrieved from the binary.

Maar je hebt een punt(je), VPN implementaties zijn er op vele manieren mogelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.