Fortinet heeft een hardgecodeerde encryptiesleutels uit verschillende Fortinet producten verwijderd. De beveiligingsspecialist heeft tussen de 10 en 18 maanden nodig gehad om de coderingssleutel uit het FortiOS voor FortiGate-firewalls en de FortiClient-endpoint protection software voor Mac en Windows te verwijderen.
Fortinet gebruikte de sleutels in kwestie om gebruikersverkeer te coderen voor de FortiGuard Web Filter-functie, FortiGuard AntiSpam-functie en FortiGuard AntiVirus-functie, aldus ZDnet. Deze producten gebruikten een zwak algoritme (XOR) en hardgecodeerde cryptografische sleutels om te communiceren met verschillende FortiGate-cloudservices.
Producten van Fortinet die getroffen zijn:
- FortiOS 6.0.6 en lager
- FortiClientWindows 6.0.6 en lager
- FortiClientMac 6.2.1 en lager
Observatie netwerkverkeer door potentiële aanvallers
De bug stelde potentiële aanvallers in staat om gewapend met de sleutel via een ‘man in the middle’-aanval het versleutelde verkeer alsnog te lezen. Zo krijgt een aanvaller zicht op de volledige HTTP- of HTTPS-koppelingen voor surfactiviteiten van gebruikers (verzonden voor analyse door de webfilterfunctie) en verzonden e-mailgegevens voor nazicht door de AntiSpam-functie. Bovendien krijgt een aanvaller informatie over verzonden antivirusgegevens naar de Fortinet cloud AntiVirus-functie.
18 maanden
Het bleef alleen niet bij het passief observeren. Via het lek kon de aanvaller dezelfde sleutel misbruiken om feedback van de antivirussoftware in de cloud te wijzigen en opnieuw te coderen. Zo kon hij waarschuwingen neutraliseren voor malwaredetecties of slechte URL’s. Het valt op dat Fortinet na de eerste melding in mei 2018 door Stefan Viehböck, beveiligingsonderzoeker voor SEC Consult, ruim anderhalf jaar nodig had om het probleem op te lossen. Fortinet had alleen al drie weken nodig om de taak voor het oplossen van de bug aan een Fortinet-medewerker toe te wijzen. Andere bedrijven erkennen bugs veelal dezelfde dag. Om nog maar niet te spreken over de lange weg om het probleem de wereld uit te helpen.
Afgelopen maart verwijderde de beveiligingsspecialist de coderingssleutel uit recente versies van FortiOS. Het duurde vervolgende nog zeker acht maanden om deze uit oudere versies te verwijderen. Fortinet gaf de laatste patch pas eerder deze maand vrij.
Patches
Het is raadzaam om direct onderstaande patches toe te passen om de gecodeerde coderingssleutels te verwijderen:
- FortiOS 6.0.7 of 6.2.0
- FortiClientWindows 6.2.0
- FortiClientMac 6.2.2
De schrijf- en democode van Viehböc is beschikbaar op de website van SEC Consult. Fortinet’s beveiligingsadvies is hier beschikbaar.