image

Standaardconfiguratie Fortigate VPN kwetsbaar voor MITM-aanvallen

vrijdag 25 september 2020, 17:43 door Redactie, 6 reacties

Onderzoekers van het beveiligingsbedrijf Sam Seamless Network hebben de Fortigate VPN-client van Fortinet onder de loep genomen. Daarbij ontdekten ze dat Fortigate, in de standaardconfiguratie, kwetsbaar is voor MITM-aanvallen. Een zoektocht van de onderzoekers op shodan.io leverde zeker 200.000 apparaten op met een standaardconfiguratie.

Het beveiligingsprobleem zit in de SSL-verificatie. De Fortigate router wordt geleverd met een standaard SSL-certificaat dat is ondertekend door Fortinet (self-signed). Elke Fortigate-server heeft een eigen certificaat dat het serienummer van de router gebruikt als servernaam voor het certificaat. Hierdoor heeft Fortinet voldoende informatie om te controleren of het certificaat is uitgegeven aan dezelfde server waar de client verbinding mee probeert te maken.

Alleen verifieert de client van Fortinet de servernaam helemaal niet. Het apparaat accepteer elk certificaat zolang het maar geldig is en het is uitgegeven door Fortinet of een andere vertrouwde CA. Een aanvaller kan het verkeer eenvoudig omleiden naar zijn server, zijn eigen certificaat gebruiken en vervolgens het dataverkeer onderscheppen.

Uiteraard heeft het bedrijf Fortinet geconfronteerd met deze bevindingen. Fortinet zegt hiervan al op de hoogte te zijn geweest. Volgens het technologiebedrijf is het de verantwoordelijkheid van de gebruiker om zelf handmatig het certificaat te wijzigen. De onderzoekers vrezen echter dat kleinere bedrijven mogelijk niet de kennis of tijd hebben om dit zelf te doen.

Reacties (6)
25-09-2020, 19:20 door Anoniem
"De onderzoekers vrezen echter dat kleinere bedrijven mogelijk niet de kennis of tijd hebben om dit zelf te doen."
Dit soort bedrijven zal ook niet snel een Fortigate inzetten, daarbij krijg je een grote rode melding dat je een self-signed certificaat gebruikt met instellen van de VPN, ook met verbinden moet je specifiek aanklikken dat je het certificaat vertrouwd en nog eens extra als je geen melding meer hier over wil hebben.
Als je 3x de waarschuwing negeert had je in deze tijd ook een geldig certificaat kunnen installeren :)
26-09-2020, 10:25 door Anoniem
Als ik de "waarschuwing"lees dat je zelf een certificaat moet installeren heeft de fabrikant er m.i. genoeg aan gedaan.
Maar ja mensen zijn zo haasig en willen alles panklaar,gemakkelijk zonder zich ergens in te verdiepen.
26-09-2020, 15:42 door Erik van Straten
Als de VPN client elk certificaat accepteert, hoe zou het vervangen van het server-side certificaat dan MITM-aanvallen kunnen helpen voorkomen?

Overigens heeft Fortinet een dramatisch verleden op dit punt (zie o.a. https://www.security.nl/posting/38728/Verkeer+Fortigate+DPI-apparaten+af+te+luisteren). Ze snappen het kennelijk nog steeds niet.
28-09-2020, 07:54 door Anoniem
Door Anoniem: "De onderzoekers vrezen echter dat kleinere bedrijven mogelijk niet de kennis of tijd hebben om dit zelf te doen."
Dit soort bedrijven zal ook niet snel een Fortigate inzetten, daarbij krijg je een grote rode melding dat je een self-signed certificaat gebruikt met instellen van de VPN, ook met verbinden moet je specifiek aanklikken dat je het certificaat vertrouwd en nog eens extra als je geen melding meer hier over wil hebben.
Als je 3x de waarschuwing negeert had je in deze tijd ook een geldig certificaat kunnen installeren :)

Bij ons is de fortigate door een extern bedrijf uitgerold, zij zeiden hierin gespecialiseerd te zijn. Maar wij gebruikten tot gister wel het standaard certificaat. Dus het komt zeker wel voor.
29-09-2020, 09:23 door Anoniem
Door Anoniem: Als ik de "waarschuwing"lees dat je zelf een certificaat moet installeren heeft de fabrikant er m.i. genoeg aan gedaan.
Maar ja mensen zijn zo haasig en willen alles panklaar,gemakkelijk zonder zich ergens in te verdiepen.

Je leest niet goed. Wellicht toch wat haastig. Ieder certificaat wordt geaccepteerd, zolang het maar uit een soortgelijke omgeving komt. Dat is onverwacht gedrag en als je dus netjes je omgeving met een certificaat beschermd hebt, blijkt de boel nu toch open te staan voor iedereen die zelf ook aan een soortgelijk certificaat kan komen. Dat is niet hoe certificaten horen te werken.
03-10-2020, 11:02 door Erik van Straten
Zie ook de follow-up discussie in https://www.security.nl/posting/672666/Fortigate+MITM+SSL+VPN+lek.

Daaruit blijkt dat VPN-client gebruikers een waarschuwing krijgen indien:
- Het default Fortinet certificaat gebruikt wordt
- In de VPN-client het IP-adres (i.p.v. publieke domeinnaam) van de Fortigate is geconfigureerd
- Als de juiste publieke domeinnaam van de Fortigate is geconfigureerd: indien een publiek certificaat wordt aangeboden waarin die domeinnaam niet overeenkomt met de geconfigureerde domeinnaam

Echter, zo'n waarschuwing:
- Kan de gebruiker wegklikken waarna de verbinding toch tot stand komt (mogelijk met een MitM i.p.v. de FortiGate)
- Kan de gebruiker voortaan voorkomen door een vinkje te zetten ("irriteer mij niet meer met certificaatwaarschuwingen")

Tevens leg ik in die pagina (direct link: https://security.nl/posting/672760) uit waarom het instellen van 2FA je waarschijnlijk niet beschermt tegen MitM aanvallen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.