FortiGate VPN缺陷：默认配置可导致中间人攻击

研究人员指出，Fortinet 公司的 FortiGate VPN设备的默认配置可导致组织机构遭中间人攻击，从而使其重要数据遭拦截。

SAM 物联网安全实验室指出，FortiGate SSL-VPN 客户端仅验证用于客户认证的证书是由 Fortinet 或其它受信任的证书机构颁发的。

研究人员在本周四的分析报告中指出，“因此，攻击者能够在没有提出任何标记的情况下，轻易出示颁发给其它 FortinetGate 路由器的证书，并执行中间人攻击。”

研究人员还表示，“攻击者实际上能借此注入自己的流量，从而和企业中的任意内部设备进行沟通，包括销售端点、敏感的数据中心等。这是一起重大的安全事件，可导致严重的数据暴露后果。”

研究人员从 Shodan 搜索获悉，超过23万台易受攻击的 FortiGate 设备都在使用该 VPN 功能。其中，88%的企业（相当于20万家企业）使用的是默认配置，因此可轻易遭中间人攻击。

运作原理

SAM 表示，在一般的 SSL 证书验证流程中，只有在验证了如下条件，客户端才能连接到服务器：证书的 Server Name 字段和客户端试图连接的真正的服务器名称相匹配；证书还在有效期；数字签名是正确的；以及证书是由客户信任的机构颁发的。

在 FortiGate 路由器案例中，它使用的是自签名的默认 SSL 证书，使用路由器的序列号来表示证书的服务器，不过 SAM 指出，它并不会验证真正的服务器名称参数是否匹配，“这就使 Fortinet 掌握了足够的信息来验证证书被颁发给客户端尝试连接的同样的服务器，如果它打算验证序列号的话。然而，Fortinet 的客户端并不会验证 Server Name，所有的证书只要是有效的都会被接受。”

SAM 发布 PoC 代码，说明了攻击者如何轻易地将流量重新路由到恶意服务器，展示自己的证书，之后解密流量。研究人员解释称，“我们解密 Fortinet SSL-VPN 客户端的流量并提取用户的密码和一次性密码。”

问题修复

虽然问题存在于 FortiGardSSL-VPN 客户端的默认配置中，但 Fortinet 认为它并不是漏洞问题，因为用户能够手动替代证书，从而正确地保护连接的安全。

Fortinet公司指出，“客户的安全是我们的第一要务，它并非漏洞问题。Fortinet VPN 设备旨在以创新的方式为客户服务，使组织机构能够建立符合自身唯一部署要求的设备。每个 VPN 设备和设立过程都在 GUI 中提供了多个清晰的警告信息，通过文档提供关于证书验证和样本证书认证和配置示例的指南。Fortinet 强烈建议遵守安装文档和流程，密切关注流程中的警告信息，避免组织机构面临风险。”

SAM 的研究人员注意到 Fortinet 公司的做法“可能对于企业而言是合理的，”但“更小的企业（例如小型律所）可能不具备相关的配置知识或时间。”

他们补充表示，“Fortigate 问题仅仅是中小型企业当前尤其是在疫情期间面临的问题之一。虽然这些公司类型需要具有接近企业级别的安全措施，但它们目前并不具备相关的资源和专业性来维护企业安全系统。”

分析报告请见：https://securingsam.com/breaching-the-fort/

原文链接

https://threatpost.com/fortigate-vpn-default-config-mitm-attacks/159586/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。