Investigadores de seguridad de SEC Consult Vulnerability Lab descubrieron que varios productos de seguridad de Fortinet utilizan cifrado débil y claves estáticas para comunicarse con los servicios de FortiGuard en la nube, como AntiSpam, AntiVirus y Web Filter.
Un atacante capaz de interceptar el tráfico de red tendría pocos problemas para descifrar y modificar los mensajes intercambiados con los servidores de FortiGuard. En el informe publicaron detalles sobre la vulnerabilidad identificada como CVE-2018-9195, junto con una prueba de concepto (PoC) que demuestra la validez de los hallazgos.
El problema afecta a las versiones de FortiOS (antes 6.0.7 o 6.2.0), FortiClient para Windows anteriores a 6.2.0 y FortiClient para Mac anteriores a 6.2.2, que se lanzaron a partir del 28 de marzo de 2019. Fortinet anunció la vulnerabilidad el 20 de noviembre.
Stefan Viehböck descubrió la debilidad el 16 de mayo de 2018 y se la reveló responsablemente a Fortinet. Descubrió que la comunicación en la nube estaba cifrada usando el cifrado XOR con la clave incrustada en los productos.
El aviso de la compañía señala que un adversario que explota esta debilidad podría obtener información que los ayudaría a construir un mejor ataque. Podrían rastrear usuarios en todo el mundo, espiar su navegación u obtener datos de correo electrónico. Entre los detalles que se pueden obtener a través del monitoreo pasivo se encuentran el número de serie de la instalación del producto Fortinet (tipo e identificación única).
Esto proporcionaría una mejor imagen de las soluciones Fortinet y las instalaciones FortiClient utilizadas por la organización objetivo. En el caso de la función de filtro web, se revelaría el tráfico de Internet. Además, cuando se habilita la inspección SSL, se usaría el mismo protocolo, “rompiendo efectivamente la confidencialidad de SSL/TLS”.
Aunque SEC Consult no tiene más información sobre lo que envía el filtro AntiSpam o el componente Antivirus, dicen que un atacante podría interceptar y manipular el tráfico de Internet para cambiar las respuestas para las características de FortiGuard Web Filter, AntiSpam y AntiVirus.
En la PoC de SEC Consult, se elimina la clave para que sea más difícil para un atacante pueda llevar a cabo un ataque contra una organización que aún no ha actualizado su software Fortinet.