Cài đặt mặc định của Fortinet VPN khiến 200.000 doanh nghiệp đối mặt với nguy cơ bị tin tặc tấn công


Trong khi diễn biến phức tạp của đại dịch Covid-19 khiến nhiều người phải chuyển sang làm việc tại nhà, một loạt các cuộc tấn công mạng đã lợi dụng sự quan tâm của mọi người về sức khỏe để khai thác các điểm yếu trong cơ sở hạ tầng làm việc từ xa và thực hiện nhiều cuộc tấn công độc hại.



Theo nhà cung cấp nền tảng an ninh mạng SAM Seamless Network, hơn 200.000 doanh nghiệp triển khai giải pháp Fortigate VPN với cấu hình mặc định để giúp nhân viên kết nối và làm việc từ xa, đang phải đối mặt với các cuộc tấn công man-in-the-middle (MitM). Cuộc tấn công này cho phép tin tặc xuất trình chứng chỉ SSL hợp lệ và chiếm đoạt kết nối của người dùng.



“Chúng tôi nhanh chóng nhận ra rằng khi ở cấu hình mặc định, SSL VPN không được bảo vệ như bình thường và rất dễ bị ảnh hưởng bởi các cuộc tấn công MITM,” Niv Hertz và Lior Tashimov của SAM IoT Security Lab cho biết.



“Máy khách Fortigate SSL-VPN chỉ thực hiện xác minh xem chứng chỉ CA có được cấp bởi Fortigate (hay một tổ chức CA đáng tin cậy) mà không yêu cầu bất kỳ bước xác minh nào khác. Do đó kẻ tấn công có thể dễ dàng xuất trình một chứng chỉ cấp cho một bộ định tuyến Fortigate khác mà không hề bị phát hiện, và triển khai một cuộc tấn công man-in-the-middle.”



Để đạt được điều này, các nhà nghiên cứu đã thiết lập một thiết bị IoT bị nhiễm độc và sử dụng nó để kích hoạt tấn công MitM ngay sau khi máy khách Fortinet VPN bắt đầu kết nối. Từ đó đánh cắp thông tin đăng nhập của người dùng trước khi chuyển thông tin này đến máy chủ và giả mạo quy trình xác thực.



SSL là một chứng chỉ giúp đảm bảo tính xác thực của một trang web hoặc một tên miền. Chứng chỉ này thường hoạt động bằng cách xác minh thời hạn hiệu lực, chữ ký điện tử của trang web, đồng thời xác minh xem liệu nó có được cấp bởi một tổ chức phát hành chứng chỉ (CA) đáng tin, hoặc xem liệu chủ thể (subject) trên chứng chỉ đó có khớp với máy chủ mà máy khách đang kết nối tới hay không.



Tìm hiểu về SSL và HTTPS



Theo các nhà nghiên cứu, vấn đề bắt nguồn từ việc các công ty sử dụng chứng chỉ SSL tự ký mặc định. 



Việc mọi bộ định tuyến Fortigate đi kèm với chứng chỉ SSL mặc định đều được ký bởi Fortinet khiến cho chứng chỉ này có thể bị bên thứ ba giả mạo, miễn là nó hợp lệ và được cấp bởi Fortinet hoặc bất kỳ tổ chức CA đáng tin cậy nào khác. Từ đó cho phép kẻ tấn công tái định tuyến lưu lượng truy cập đến một máy chủ mà mà chúng kiểm soát và giải mã các nội dung được gửi đến.





Nguyên nhân chính dẫn tới cuộc tấn công trên là do SSL mặc định sử dụng số sê-ri của bộ định tuyến làm tên máy chủ cho chứng chỉ. Trong khi Fortinet có thể sử dụng số sê-ri của bộ định tuyến để kiểm tra xem liệu tên máy chủ có trùng khớp hay không, thì dường như máy khách hoàn toàn không xác minh tên máy chủ, do đó dẫn đến gian lận trong quá trình xác thực.



Trong một kịch bản, các nhà nghiên cứu đã khai thác điểm yếu trên để giải mã lưu lượng của máy khách Fortinet SSL-VPN và trích xuất mật khẩu cùng mã OTP của người dùng. 



“Kẻ tấn công có thể lợi dụng điểm yếu này để chèn lưu lượng truy cập của chính hắn. Về cơ bản, hắn có thể giao tiếp truyền thông tin với bất kỳ thiết bị nội bộ nào của doanh nghiệp, chẳng hạn như máy PoS, các trung tâm dữ liệu nhạy cảm, v.v. Đây là một lỗi bảo mật nguy hiểm và có nguy cơ dẫn tới các vụ rò rỉ dữ liệu nghiêm trọng,” công ty cho biết.



Về phần mình, Fortinet cho biết họ không có kế hoạch giải quyết vấn đề này. Họ đồng thời đề xuất người dùng nên thay thế chứng chỉ mặc định theo cách thủ công và đảm bảo các kết nối an toàn trước các cuộc tấn công MitM.



Hiện tại, Fortinet đã đưa ra thông báo nhắc nhở người dùng khi sử dụng chứng chỉ mặc định: “Bạn đang sử dụng chứng chỉ tích hợp mặc định, và nó sẽ không thể xác minh tên miền máy chủ (bạn sẽ được biết qua một cảnh báo). Vậy nên, chúng tôi khuyến nghị bạn nên mua chứng chỉ cho tên miền của mình và tải nó lên để sử dụng.”



“Điểm yếu trên Fortigate chỉ là một trong nhiều vấn đề bảo mật mà các doanh nghiệp vừa và nhỏ đang phải đối mặt, đặc biệt là trong thời điểm dịch bệnh buộc mọi người phải thường xuyên làm việc tại nhà như hiện nay,” Hertz và Tashimov cho biết.



“Những loại hình doanh nghiệp này cần một phương án bảo mật gần cấp doanh nghiệp (enterprise-grade), nhưng họ không có đủ nguồn lực cũng như chuyên môn để duy trì hệ thống bảo mật doanh nghiệp. Các doanh nghiệp nhỏ hơn thì yêu cầu các sản phẩm bảo mật gọn gàng, dễ sử dụng, có thể kém linh hoạt hơn nhưng phải cung cấp được các biện pháp bảo mật cơ bản tốt hơn. “



CẬP NHẬT: Trong một tuyên bố chia sẻ với The Hacker News, Fortigate cho biết: “Bảo mật của khách hàng là ưu tiên hàng đầu của chúng tôi. Đây không phải là một lỗ hổng bảo mật. Các thiết bị Fortinet VPN được thiết kế out_of_the_box (đóng gói sẵn) cho khách hàng và giúp các tổ chức có thể tùy chỉnh thiết bị theo hướng triển khai riêng của mình.”



“Ở mỗi thiết bị VPN và mỗi quy trình thiết lập, chúng tôi đều cung cấp vô số các cảnh báo trên GUI, kèm với tài liệu hướng dẫn về cách xác thực chứng chỉ, các xác thực chứng chỉ mẫu và các ví dụ cấu hình. Fortinet khuyến nghị người dùng nên nghiêm túc tuân thủ các quy trình và tài liệu cài đặt đã được cung cấp, đồng thời chú ý đến các cảnh báo trong suốt quy trình để tránh tối đa các rủi ro bảo mật.”



Theo The Hacker News
The post Cài đặt mặc định của Fortinet VPN khiến 200.000 doanh nghiệp đối mặt với nguy cơ bị tin tặc tấn công appeared first on SecurityDaily .

Top News