Поделиться
VPN-серверы Fortinet не регистрируют успешные брутфорс-атаки
Особенность системы журналирования VPN-устройств FortiClient позволяет злоумышленникам скрывать успешные атаки. В Fortinet пока что отказываются признавать это уязвимостью.
Все в порядке, беспокоиться не о чем
Архитектурная ошибка в VPN-устройствах компании Fortinet позволяет скрывать успешные брутфорс-атаки на их программные оболочки.
Проблема заключается в том, что механизм журналирования можно заставить отмечать только неуспешные попытки, а успешные - оставлять без внимания. Как следствие, администраторы скомпрометированных устройств будут считать, что все в порядке, в то время как злоумышленники будут успешно использовать все преимущества, которые обеспечит им доступ к чужим VPN-серверам.
VPN-устройства Fortinet - FortiClient - регистрирует попытки подключения в две стадии. Первая — это аутентификация, вторая - авторизация.
Как выяснили исследователи фирмы Pentera, специализирующейся на решениях по автоматизации проверки безопасности сетевых ресурсов, успешная попытка подключения регистрируется только в том случае, если подключающаяся сторона проходит и аутентификацию, и авторизацию. В противном случае в журнале FortiClient отображается неуспешная попытка логина.
Неудавшиеся попытки записываются в логи на этапе аутентификации, успешные - на этапе авторизации.
Однако эксперты Penterra продемонстрировали способ остановить процесс логина в промежутке между аутентификацией и авторизацией, так что устройство может принять реквизиты доступа, но не отображать их в журнале.
В журналах ничего
Исследователи воспользовались приложением для тестирования безопасности Burp для того, чтобы записать обмен данными между клиентом и VPN-сервером.
Обнаружилось, что ответ на первоначальный HTTPS-запрос выдает легитимные реквизиты доступа (через величину ret=1), отклоненный логин (ret=0) или сообщение об ошибке в случае многочисленных неудачных попыток логина.
То есть, как поясняется издание Bleeping Computer, на этапе аутентификации поступает подтверждение реквизитов и компонент авторизации открывает VPN-сеанс.
Но если процесс остановить сразу после аутентификации, VPN-сервер зарегистрирует только неудавшиеся попытки, даже если на деле аутентификация пройдена и подключение установлено.
Как считают эксперты Pentera, это обстоятельство формирует серьезный риск безопасности. У злоумышленников появляется возможность осуществлять брутфорс-атаки, которые, в случае успешного исхода, не будут даже зарегистрированы.
Подобрав подходящие реквизиты доступа, злоумышленники смогут делать на устройстве все, что им захочется. Например, продать доступ на черном рынке или самим произвести атаку на сеть, когда администраторы, изначально встревоженные брутфорс-атаками, по прошествии времени перестанут отслеживать активность на скомпрометированном устройстве.
Дело техники
Издание Bleeping Computer отмечает, что даже если злоумышленники подбирают корректные логин-пароль и пытаются им воспользоваться, авторизация и установление соединения происходят только после того, как FortiClient VPN отправляет два API-вызова для проверки безопасности и уровня доступа подключающегося пользователя. Это затрудняет атаку, но не делает ее невозможной.
Компания Pentera выпустила скрипт, который позволяет эксплуатировать эту проблему в реальных атаках. В Fortinet, как ни парадоксально, отказались рассматривать ее как полноценную уязвимость.
Директор по информационной безопасности компании SEQ Анастасия Мельникова считает, что, возможно, мнение вендора изменится, если начнутся массовые попытки эксплуатировать данную уязвимость посредством выпущенного скрипта.
По мнению эксперта, публикация скрипта гарантирует скорое начало атак, вне зависимости от сложности их исполнения.
«Способ описан, остальное — дело техники» — отметила эксперт.
Короткая ссылка
