for Nul-Dag
| November 25, 2019 — 22:40 GMT (22:40 GMT)
| Emne: Sikkerhed
Billede: Fortinet, ZDNet
Fortinet, en leverandør af it-sikkerhedsprodukter, tog mellem 10 og 18 måneder til at fjerne en hardcodede krypteringsnøgle fra tre produkter, der var at udsætte kunden data til passiv aflytning.
Den indbyggede krypteringsnøgle, der blev fundet inde i FortiOS for FortiGate firewalls og FortiClient endpoint protection software (antivirus) til Mac og Windows.
Disse tre produkter, der anvendes af en svag kryptering cipher (XOR) og indbyggede kryptografiske nøgler til at kommunikere med forskellige FortiGate cloud-tjenester.
Det kodede nøgler blev brugt til at kryptere brugeren trafik for FortiGuard Web Filter funktion, FortiGuard AntiSpam funktion, og FortiGuard AntiVirus-funktionen.
En trussel skuespiller i en position til at observere en bruger eller en virksomhed er trafik ville have været i stand til at tage den indbyggede kryptering, nøgler og dekryptere denne svagt krypteret data stream. Afhængigt af, hvilket produkt, en virksomhed var i brug, ville en hacker har lært:
– Fuld HTTP-eller HTTPS-links til brugere’ web-surfing aktivitet (sendt til test for at Web-Filter-funktion)
– E-mail-data, der er sendt til test for at AntiSpam-funktion)
– Antivirus data (sendt til test for at de (Fortinet cloud) AntiVirus-funktion)
Men udover at snuse til brugerens trafik, kunne angriberen har også brugt den samme indbyggede kryptering-tasten til at ændre og re-kryptere svar, neutralisering indberetninger for malware afsløring eller dårlig Webadresser.
Det tog måneder at få dette rettet
De spørgsmål, der blev opdaget i Maj 2018 af Stefan Viehböck, en sikkerhedsekspert for SEC-Consult. Processen for indberetning og have disse problemer rettet af Fortinet har været usædvanlig lang og langsom.
For eksempel, mens de fleste virksomheder erkender, fejlrapporter på samme dag, det tog tre uger, indtil en Kinesisk medarbejder fik på sagen.
Fastsættelse bugs tog endnu længere tid. Fortinet har fjernet den krypteringsnøgle fra de seneste versioner af FortiOS kun i Marts 2019, ti måneder efter den oprindelige rapport.
Det tog otte måneder at fjerne de krypteringsnøgler, der fra ældre versioner, med den sidste patch er udgivet tidligere i denne måned.
Nedenfor er de påvirket Fortinet produkter:
FortiOS 6.0.6 og belowFortiClientWindows 6.0.6 og belowFortiClientMac 6.2.1 og nedenfor
Systemadministratorer rådes til at anvende følgende rettelser for at fjerne den indbyggede kryptering, nøgler:
FortiOS 6.0.7 eller 6.2.0 FortiClientWindows 6.2.0 FortiClientMac 6.2.2
En Kinesisk talsmand svarede ikke på en anmodning om kommentarer inden denne artikel blev offentliggjort. Viehböc skrive-up og demo-kode er tilgængelige på SEK Høre hjemmeside. Fortinet security advisory er tilgængelig her.
Sikkerhed
Chrome, Edge, Safari hacket på elite Kinesisk hacking contest
Tusindvis af hackede Disney+ konti er allerede til salg på hacking fora
Cybersecurity er på vej ind i en ansættelse krise: Her er, hvordan vi løser problemet
Fastsættelse af data lækager i Jira (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan til at styre sporing af placering på din iPhone i iOS 13 (TechRepublic)
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 25, 2019 — 22:40 GMT (22:40 GMT)
| Emne: Sikkerhed