per Zero-Day
| 25 novembre 2019 — 22:40 GMT (22:40 GMT)
| Argomento: Sicurezza
Immagine: Fortinet, ZDNet
Fortinet, un produttore di cyber-sicurezza prodotti, ha tra i 10 e i 18 mesi per rimuovere un hardcoded chiave di crittografia da tre prodotti di esporre i dati dei clienti passivi di captazione.
Il hardcoded chiave di crittografia è stato trovato all’interno del FortiOS per i firewall FortiGate e il FortiClient endpoint software di protezione (antivirus) per Mac e Windows.
Questi tre prodotti utilizzati debole di cifratura (XOR) e hardcoded chiavi di crittografia per comunicare con i vari FortiGate servizi cloud.
Il hardcoded tasti sono stati utilizzati per crittografare il traffico di utenti per i FortiGuard Web funzionalità di Filtro, FortiGuard funzione AntiSpam, e FortiGuard funzione AntiVirus.
Una minaccia attore in grado di osservare un utente o di un’azienda traffico sarebbe stato in grado di prendere il hardcoded chiavi di crittografia e decrittografia questo debolmente flusso di dati crittografati. A seconda di che prodotto era un’azienda che utilizza, l’attaccante avrebbe imparato:
– HTTP o HTTPS link per gli utenti web l’attività di navigazione (inviati per il test per il Web funzionalità di Filtro)
– E-mail dati inviati per il test per la funzione AntiSpam)
– Antivirus dati (inviati per il test per l’ (Fortinet cloud) funzione AntiVirus)
Ma oltre a sniffare un traffico utente, l’utente malintenzionato potrebbe, inoltre, hanno utilizzato la stessa hardcoded chiave di crittografia per modificare e ri-codificare le risposte, castrare gli avvisi per i rilevamenti di malware o male Url.
Ci sono voluti mesi per ottenere questo fisso
I problemi sono stati scoperti nel Maggio 2018 da Stefan Viehböck, un ricercatore di sicurezza per SEC Consultare. Il processo di reporting e di avere questi problemi risolti da Fortinet è stato eccessivamente lungo e lento.
Per esempio, mentre la maggior parte delle aziende si riconoscono le segnalazioni di bug, lo stesso giorno, ci sono voluti tre settimane fino a Fortinet dipendente è il caso.
Fissare il bug ha preso anche di più. Fortinet rimosso la chiave di crittografia da versioni recenti di FortiOS solo a Marzo 2019, dieci mesi dopo la relazione iniziale.
Poi ha preso un altro di otto mesi, rimuovere le chiavi di crittografia da versioni precedenti, con l’ultima patch di essere rilasciato all’inizio di questo mese.
Di seguito sono interessati da Fortinet prodotti:
FortiOS 6.0.6 e belowFortiClientWindows 6.0.6 e belowFortiClientMac 6.2.1 e sotto
Gli amministratori di sistema, si consiglia di applicare la patch per rimuovere il hardcoded chiavi di crittografia:
FortiOS 6.0.7 o 6.2.0 FortiClientWindows 6.2.0 FortiClientMac 6.2.2
Un Fortinet portavoce non ha risposto a una richiesta di commento prima della pubblicazione di questo articolo. Viehböc write-up e la demo è disponibile un codice del SEC Consultare il sito web. Fortinet dell’avviso di sicurezza è disponibile qui.
Sicurezza
Chrome, Edge, Safari violato elite Cinese hacking contest
Migliaia di hacked Disney+ conti sono già in vendita sul forum di hacking
Sicurezza informatica si sta dirigendo in una crisi di reclutamento: Ecco come risolvere il problema
Fissaggio di fughe di dati in Jira (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come controllare la posizione di inseguimento sul tuo iPhone in iOS 13 (TechRepublic)
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 25 novembre 2019 — 22:40 GMT (22:40 GMT)
| Argomento: Sicurezza