某些Fortinet产品随附硬编码的加密密钥

网络安全产品供应商Fortinet花了10到18个月的时间,从将客户数据暴露给被动拦截的三种产品中删除了硬编码的加密密钥。

在FortiOS的FortiGate防火墙和FortiClient端点保护软件(防病毒)的Mac和Windows中找到了硬编码的加密密钥。

这三种产品使用弱加密密码(XOR)和硬编码的加密密钥与各种FortiGate云服务进行通信。

硬编码的密钥用于加密FortiGuard Web过滤器功能,FortiGuard反垃圾邮件功能和FortiGuard AntiVirus功能的用户流量。

能够观察用户或公司流量的威胁参与者本来可以获取硬编码的加密密钥并解密此弱加密的数据流。根据公司所使用的产品,攻击者将了解到:

-用于用户的网络浏览活动的完整HTTP或HTTPS链接(已发送以测试到Web过滤器功能)

-已发送电子邮件数据以测试到反垃圾邮件功能)

-防病毒数据(已发送以测试到(Fortinet云)AntiVirus功能)

但是,除了嗅探用户的流量外,攻击者还可以使用相同的硬编码加密密钥来更改和重新加密响应,从而阻止警报检测恶意软件或错误的URL。

解决这个问题花了几个月的时间

SEC Consult安全研究员StefanViehböck于2018年5月发现了这些问题。Fortinet报告并解决这些问题的过程异常漫长而缓慢。

例如,虽然大多数公司都在同一天确认错误报告,但花了三周的时间才让Fortinet员工上了案。

修复错误所需的时间甚至更长。Fortinet仅在2019年3月,即初次报告发布十个月后才从FortiOS的最新版本中删除了加密密钥。

然后又花了八个月的时间从较早版本中删除加密密钥,最后一个补丁程序于本月初发布。

以下是受影响的Fortinet产品:

FortiOS 6.0.6及更低版本

FortiClientWindows 6.0.6及以下

FortiClientMac 6.2.1及以下

建议系统管理员应用以下修补程序来删除硬编码的加密密钥:

FortiOS 6.0.7或6.2.0

FortiClientWindows 6.2.0

FortiClientMac 6.2.2

通过ZDNet,Fortinet发言人联系了公司,解释了为什么公司花这么多时间来解决所报告的问题:

“客户的安全是Fortinet的重中之重。一旦向Fortinet披露了问题,我们立即开始与内部研究团队合作,为受影响的产品开发软件更新。在该过程中,团队花了一些时间来设计在为我们的客户保护与FortiGuard服务的连接的同时,提供一种解决方案。在遵守负责任的披露政策以保护客户的情况下,Fortinet不会在针对受影响产品的所有解决方案都已就位,经过测试并就位之前分发咨询。”

Viehböc的编写代码和演示代码可在SEC Consult网站上找到。可在此处获得Fortinet的安全建议。

相关推荐