Fette Verschlüsselungs-Schwachstellen in Fortinet-Produkten

Publiziert am 26. November 2019 von Günter Born

[English]Die Entwickler von Fortinet haben bestimmte (Sicherheits-)Produkte mit fest codierten Schlüsseln zur Verschlüsselung der Kommunikation ausgeliefert. Zudem wurde Verschlüsselung über eine XOR-Funktion vorgenommen. 18 Monate nach der Meldung sind die Schwachstellen aber gefixt.

Anzeige

Fortinet ist ein US-Unternehmen, welches Software und Dienste auf dem Gebiet der Informationssicherheit, zum Beispiel Firewalls, Antivirenprogramme, Intrusion Detection und Endpunktsicherheit. Vom Umsatz ist es das viertgrößte Unternehmen für Netzwerksicherheit.

Feste Verschlüsselung mit XOR

Jetzt ist das Unternehmen durch böse Patzer in seinen Produkten aufgefallen. Ich bin gestern bereits bei Bleeping Computer über diesen Artikel auf das Thema aufmerksam geworden, habe es aber auch über diesen Tweet mitbekommen.

Sicherheitsforschern ist aufgefallen, dass die Fortinet-Entwickler in mehreren Sicherheitsproduktem eine schwache Verschlüsselung und statische Schlüssel verwendeten, um mit FortiGuard-Diensten in der Cloud zu kommunizieren. Das betrifft beispielsweise AntiSpam, AntiVirus und Webfilter.

Stefan Viehböck hat die Fehler bereits 16. Mai 2018 entdeckt und Fortinet gegenüber offengelegt. Bei der Analyse hat er festgestellt, dass die Cloud-Kommunikation über XOR-Chiffren und mit in den Produkten eingebetteten Schlüsseln encodiert wurde. Fortinet gab die Schwachstelle am 20. November 2019 bekannt.

Hardcoded cryptographic key in the FortiGuard services communication protocol

Use of a hardcoded cryptographic key in the FortiGuard services communication protocol may allow a Man in the middle with knowledge of the key to eavesdrop on and modify information (URL/SPAM services in FortiOS 5.6, and URL/SPAM/AV services in FortiOS 6.0.; URL rating in FortiClient) sent and received from Fortiguard severs by decrypting these messages.

Das Problem betrifft Versionen von FortiOS (vor 6.0.7 oder 6.2.0), FortiClient für Windows vor 6.2.0 und FortiClient für Mac vor 6.2.2, die am 28. März 2019 veröffentlicht wurden. Ein Upgrade auf folgende Produktversionen beseitigt diese Schwachstellen, die eine Informationsoffenlegung vertraulicher Kommunikationsinhalte ermöglichen.

  • Upgrade to FortiOS 6.0.7 or 6.2.0
  • Upgrade to FortiClientWindows 6.2.0
  • Upgrade to FortiClientMac 6.2.2

In einem jetzt veröffentlichten Schwachstellenbericht gibt SEC Consult Vulnerability Lab Details über die Schwachstelle CVE-2018-9195, bekannt. Zudem legen die Sicherheitsforscher Proof-of-Concept (PoC)-Code vor, der die Angreifbarkeit der ungepatchten Produkte belegt. Wer die Produkte einsetzt, sollte also updaten. Weitere Details sind den verlinkten Artikeln zu entnehmen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.