för Zero Day
| November 25, 2019 — 22:40 GMT (22:40 GMT)
| Ämne: Säkerhet
Bild: Fortinet, ZDNet
Fortinet, en leverantör av it-säkerhetsprodukter, tog mellan 10 och 18 månader för att ta bort en hårdkodad krypteringsnyckel från tre produkter som fanns att utsätta kunddata till passiv avlyssning.
Hårdkodad krypteringsnyckel hittades inne i FortiOS för FortiGate brandväggar och FortiClient endpoint protection programvara (antivirus) för Mac och Windows.
Dessa tre produkter används en svag kryptering chiffer (XOR) och hårdkodad kryptografiska nycklar för att kommunicera med olika FortiGate moln-tjänster.
Hårdkodad nycklar användes för att kryptera trafiken för FortiGuard Web Filter-funktionen, FortiGuard AntiSpam-funktionen, och FortiGuard AntiVirus.
Ett hot skådespelare i en position för att följa en användares eller ett företags trafik skulle ha kunnat ta hårdkodad krypteringsnycklar och dekryptera detta svagt krypterade dataströmmen. Beroende på vilken produkt som ett företag använder, angriparen skulle ha lärt sig:
– Hela HTTP-eller HTTPS-länkar för användare att surfa aktivitet (skickas för testning till Webb-Filter-funktionen)
– E-post-data som skickas för testning för att AntiSpam-funktionen)
– Antivirus data (skickas för testning (Fortinet cloud) AntiVirus)
Men förutom att sniffa en användares trafik, angriparen har också använt samma hårdkodad krypteringsnyckel för att ändra och kryptera svar, kastrering varnar för skadlig kod upptäckter eller dåligt Webbadresser.
Det tog månader att få detta fixat
De frågor som upptäcktes i Maj 2018 av Stefan Viehböck, en säkerhetsforskare för SEK Höra. Processen för rapportering, och att ha dessa problem som korrigeras genom Fortinet har varit onormalt lång och långsam.
Till exempel, medan de flesta företag bekräftar felrapporter på samma dag, det tog tre veckor till en Fortinet anställd fick på fall.
Fixa buggarna tog ännu längre tid. Fortinet bort krypteringsnyckeln från de senaste versionerna av FortiOS bara i Mars 2019, tio månader efter den första rapporten.
Det tog sedan ytterligare åtta månader för att ta bort den krypteringsnycklar från äldre versioner, med den senaste patchen som släpptes tidigare denna månad.
Nedan är negativt Fortinet produkter:
FortiOS 6.0.6 och belowFortiClientWindows 6.0.6 och belowFortiClientMac 6.2.1 och nedan
Systemadministratörer rekommenderas att använda följande för att ta bort fläckar hårdkodad krypteringsnycklar:
FortiOS 6.0.7 eller 6.2.0 FortiClientWindows 6.2.0 FortiClientMac 6.2.2
En Fortinet talesperson ville inte svara på en begäran om kommentar innan denna artikel publicerades. Viehböc uppskrivning och demo-kod är tillgänglig på SEK Samråda webbplats. Fortinet ‘ s security advisory finns här.
Säkerhet
Chrome, Edge, Safari hacka på elite Kinesisk hacka tävling
Tusentals hackad Disney+ konton finns redan till försäljning på hacking forum
It-säkerhet är på väg in i en rekrytering krisen: Här är hur vi kan åtgärda problemet
Fastställande av data läckor i Jira (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur man styr plats spårning på din iPhone på iOS 13 (TechRepublic)
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| November 25, 2019 — 22:40 GMT (22:40 GMT)
| Ämne: Säkerhet