voor Zero Day
| 25 November 2019 — 22:40 GMT (22:40 GMT)
| Onderwerp: Security
Afbeelding: Fortinet, ZDNet
Fortinet, een leverancier van cyber-security producten, nam tussen 10 en 18 maanden voor het verwijderen van een vaste encryptie sleutel van de drie producten die het blootstellen van klant gegevens voor passieve onderscheppen.
De vaste encryptie sleutel is gevonden in de FortiOS voor de FortiGate firewalls en de FortiClient endpoint protection software (antivirus) voor Mac en Windows.
Deze drie producten worden gebruikt een zwakke encryptie code (XOR) en hardcoded cryptografische sleutels om te communiceren met verschillende FortiGate cloud-diensten.
De geprogrammeerde toetsen werden gebruikt voor het versleutelen van het verkeer van gebruikers voor het FortiGuard Web Filter, FortiGuard AntiSpam-functie, en FortiGuard AntiVirus-functie.
Een bedreiging acteur in een positie om zich aan een gebruiker of een bedrijf het verkeer zou in staat zijn geweest om de vaste encryptie sleutels en decoderen van dit zwak gecodeerd data-stream. Afhankelijk van wat voor product van een bedrijf is het gebruik van de aanvaller zou hebben geleerd:
– Volledige HTTP-of HTTPS-verbindingen voor gebruikers surfen op het web activiteit (verzonden voor het testen van de Web Filter)
– E-mail verzonden gegevens voor het testen van de AntiSpam-functie)
– Antivirus data (verzonden ter toetsing aan de (Fortinet cloud AntiVirus-functie)
Maar naast het snuiven van een gebruiker van het verkeer, de aanvaller kan ook gebruikt dezelfde vaste encryptie sleutel te wijzigen en opnieuw coderen van de antwoorden, castratie waarschuwt voor malware detectie of slechte Url ‘ s.
Het duurde maanden om dit vast te krijgen
De problemen werden ontdekt in Mei 2018 door Stefan Viehböck, een security-onderzoeker voor de SEC Raadplegen. Het proces van rapportage en het hebben van deze problemen opgelost door Fortinet is abnormaal lang en traag.
Bijvoorbeeld, terwijl de meeste bedrijven erkennen bug reports op dezelfde dag, het duurde drie weken, tot een Fortinet werknemer kreeg op de zaak.
De vaststelling van de bugs duurde zelfs nog langer. Fortinet verwijderd van de encryptie sleutel van recente versies van FortiOS pas in Maart 2019, tien maanden na het eerste rapport.
Het duurde vervolgens nog acht maanden te verwijderen worden de encryptie sleutels van oudere versies, met de laatste patch wordt uitgebracht eerder deze maand.
Hieronder zijn de getroffen Fortinet producten:
FortiOS 6.0.6 en belowFortiClientWindows 6.0.6 en belowFortiClientMac 6.2.1 en onder
Systeem beheerders wordt geadviseerd om het toepassen van de volgende patches te verwijderen van de vaste encryptie-sleutels:
FortiOS 6.0.7 of 6.2.0 FortiClientWindows 6.2.0 FortiClientMac 6.2.2
Een Fortinet woordvoerder niet antwoorden op een verzoek om commentaar voor dit artikel de publicatie. Viehböc van de write-up en demo-code beschikbaar is op de SEC Raadplegen website. Fortinet ‘ s beveiligingsadvies is hier beschikbaar.
Veiligheid
Chrome Rand, Safari gehackt elite Chinese hack wedstrijd
Duizenden gehackte Disney+ accounts zijn al te koop op het hacken van forums
Cybersecurity is op weg naar een recruitment crisis: Hier is hoe we het probleem oplossen
De vaststelling van het lekken van gegevens in Jira (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Hoe om te bepalen locatie bijhouden op je iPhone in iOS 13 (TechRepublic)
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 25 November 2019 — 22:40 GMT (22:40 GMT)
| Onderwerp: Security