[English]Die Entwickler von Fortinet haben bestimmte (Sicherheits-)Produkte mit fest codierten Schlüsseln zur Verschlüsselung der Kommunikation ausgeliefert. Zudem wurde Verschlüsselung über eine XOR-Funktion vorgenommen. 18 Monate nach der Meldung sind die Schwachstellen aber gefixt.
Anzeige
Fortinet ist ein US-Unternehmen, welches Software und Dienste auf dem Gebiet der Informationssicherheit, zum Beispiel Firewalls, Antivirenprogramme, Intrusion Detection und Endpunktsicherheit. Vom Umsatz ist es das viertgrößte Unternehmen für Netzwerksicherheit.
Feste Verschlüsselung mit XOR
Jetzt ist das Unternehmen durch böse Patzer in seinen Produkten aufgefallen. Ich bin gestern bereits bei Bleeping Computer über diesen Artikel auf das Thema aufmerksam geworden, habe es aber auch über diesen Tweet mitbekommen.
Some Fortinet products shipped with hardcoded encryption keys
– took Fortinet between 10 and 18 months to fix the issue
– hardcoded key allowed for passive interception of Fortinet product traffic
– also allowed active tampering with scan resultshttps://t.co/mbwwTb96qf pic.twitter.com/3hXbCQGyVu— Catalin Cimpanu (@campuscodi) November 25, 2019
Sicherheitsforschern ist aufgefallen, dass die Fortinet-Entwickler in mehreren Sicherheitsproduktem eine schwache Verschlüsselung und statische Schlüssel verwendeten, um mit FortiGuard-Diensten in der Cloud zu kommunizieren. Das betrifft beispielsweise AntiSpam, AntiVirus und Webfilter.
Anzeige
Stefan Viehböck hat die Fehler bereits 16. Mai 2018 entdeckt und Fortinet gegenüber offengelegt. Bei der Analyse hat er festgestellt, dass die Cloud-Kommunikation über XOR-Chiffren und mit in den Produkten eingebetteten Schlüsseln encodiert wurde. Fortinet gab die Schwachstelle am 20. November 2019 bekannt.
Hardcoded cryptographic key in the FortiGuard services communication protocol
Use of a hardcoded cryptographic key in the FortiGuard services communication protocol may allow a Man in the middle with knowledge of the key to eavesdrop on and modify information (URL/SPAM services in FortiOS 5.6, and URL/SPAM/AV services in FortiOS 6.0.; URL rating in FortiClient) sent and received from Fortiguard severs by decrypting these messages.
Das Problem betrifft Versionen von FortiOS (vor 6.0.7 oder 6.2.0), FortiClient für Windows vor 6.2.0 und FortiClient für Mac vor 6.2.2, die am 28. März 2019 veröffentlicht wurden. Ein Upgrade auf folgende Produktversionen beseitigt diese Schwachstellen, die eine Informationsoffenlegung vertraulicher Kommunikationsinhalte ermöglichen.
- Upgrade to FortiOS 6.0.7 or 6.2.0
- Upgrade to FortiClientWindows 6.2.0
- Upgrade to FortiClientMac 6.2.2
In einem jetzt veröffentlichten Schwachstellenbericht gibt SEC Consult Vulnerability Lab Details über die Schwachstelle CVE-2018-9195, bekannt. Zudem legen die Sicherheitsforscher Proof-of-Concept (PoC)-Code vor, der die Angreifbarkeit der ungepatchten Produkte belegt. Wer die Produkte einsetzt, sollte also updaten. Weitere Details sind den verlinkten Artikeln zu entnehmen.
Anzeige
