L'ANALISI TECNICA

Settaggi di default per Fortigate VPN, 200mila aziende a rischio: tutti i dettagli

È stata scoperta una vulnerabilità nella tecnologia Fortigate VPN che, se sfruttata con successo, potrebbe consentire di compiere attacchi man in the middle e prendere il controllo della connessione della vittima provocando un data breach potenzialmente devastante. Ecco tutti i dettagli e i consigli per mitigare il rischio

01 Ott 2020
P
Riccardo Paglia

Cyber Security Expert, CEO and Co-founder of Swascan


Non è una novità, la pandemia ha causato una migrazione massiccia verso lo smart working per milioni di lavoratori e una delle soluzioni più utilizzate per facilitarla è stata sicuramente l’utilizzo di VPN, e tra queste una delle più utilizzate è stata Fortigate VPN di Fortinet.

I rischi dei settaggi di default per Fortigate VPN

Sulla scia della remotizzazione, però, si sono inseriti i criminal hacker, pronti a sfruttare il nuovo panorama digitale per portare a termine i loro attacchi.

E proprio la soluzione Fortigate VPN è ora finita sotto la lente d’ingrandimento degli esperti di sicurezza per una vulnerabilità legata all’utilizzo di configurazioni factory-set nel loro utilizzo.

Secondo una ricerca – fatta attraverso Shodan – oltre 200mila utilizzatori di Fortigate VPN sono a rischio di attacco MITM (Man in the middle), visto che i criminal hacker sono in grado di presentare un certificato SSL valido per prendere il controllo della connessione delle vittime.

L’exploit della vulnerabilità in Fortigate VPN

I ricercatori di SAM IoT Security Lab hanno scoperto che in configurazione di default la SSL VPN non è così sicura come ci si potrebbe aspettare, rendendola appunto, vulnerabile ad attacchi MITM.

Questo perché il client SSL-VPN di Fortigate verifica solo che il CA (Certificate authority) sia stato rilasciato da Fortinet, quindi un aggressore potrebbe semplicemente utilizzare un altro certificato – sempre di Fortinet – preso da qualsiasi router senza destare alcun sospetto.

Da qui, il criminal hacker ha via libera per attaccare e lanciare il suo attacco Man in the middle.

Un aggressore, con questo attacco, può iniettare il proprio traffico all’interno della rete bersaglio ed essenzialmente comunicare con qualsiasi dispositivo interno all’azienda, compresi i Pos, data center e via dicendo.

Insomma, si tratta di una violazione di sicurezza non da poco, che potrebbe portare a un data breach devastante.

Il PoC della vulnerabilità in Fortigate VPN

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Banda larga

Per mettere in pratica questo exploit i ricercatori hanno testato la loro teoria settando un dispositivo IoT compromesso per lanciare un attacco MITM non appena la VPN Fortinet avvia una connessione.

La convalida del certificato SSL, che aiuta a garantire l’autenticità di un sito web o di un dominio, funziona tipicamente verificandone il periodo di validità, la firma digitale, se è stata emessa da una Certificate authority (CA) di cui si può fidare e se il soggetto nel certificato corrisponde al server a cui il client si sta connettendo.

Il problema, secondo i ricercatori, risiede nell’utilizzo di certificati SSL autofirmati di default da parte delle aziende.

Dato che ogni router Fortigate viene fornito con un certificato SSL predefinito firmato da Fortinet, proprio quel certificato può essere falsificato da una terza parte, purché sia valido ed emesso da Fortinet o da qualsiasi altra CA di fiducia, permettendo così all’aggressore di reindirizzare il traffico verso un server di cui ha il controllo.

Il motivo principale è che il certificato SSL predefinito utilizza il numero di serie del router come nome del server per il certificato.

Mentre Fortinet può usare il numero di serie del router per controllare se i nomi dei server corrispondono, il client sembra non verificare affatto il nome del server, con conseguente autenticazione fraudolenta.

Nel loro PoC, i ricercatori hanno sfruttato questa “stranezza” per decifrare il traffico del client SSL-VPN di Fortinet ed estrarre la password e l’OTP dell’utente.

Attualmente, Fortinet fornisce un avviso quando si utilizza il certificato predefinito: “Stai usando un certificato predefinito che non sarà in grado di verificare il nome del dominio del tuo server (i tuoi utenti vedranno un avviso). Si raccomanda di acquistare un certificato per il vostro dominio e di caricarlo per l’uso”.

Le problematiche di sicurezza dello smart working

Questo problema legato a Fortigate VPN è solo un esempio delle attuali problematiche di sicurezza che le piccole e medie imprese hanno dovuto affrontare negli ultimi mesi, soprattutto durante “l’epidemia” di smart working.

Tante volte le realtà più piccole non dispongono di personale o risorse per “rincorrere” queste problematiche che potrebbero rivelarsi catastrofiche se exploitate dai criminal hacker.

Dal canto suo, Fortinet ha sminuito la questione, sostenendo che “le VPN di Fortinet sono progettate per funzionare out-of-the-box per i clienti, in modo che le organizzazioni siano in grado di impostare le loro appliance personalizzate in base alle loro necessità”.

“Fortinet raccomanda vivamente di attenersi alla documentazione e al processo di installazione forniti, prestando molta attenzione agli avvertimenti durante tutto il processo per evitare di esporre l’organizzazione a rischi”.

Ovviamente il consiglio per evitare di rimanere vittime di un attacco MITM è quello di cambiare il certificato SSL fornito di default.

In ogni caso, l’utilizzo massivo di tecnologie abilitanti per lo smart working dovrebbe essere seguito da regolari attività di analisi del rischio tecnologico:

  • vulnerability assessment;
  • penetration test;
  • network scan.

Soprattutto in periodi complessi come questo, è necessario assicurarsi che il proprio perimetro aziendale sia al sicuro, individuando possibili vulnerabilità del proprio perimetro esterno ed interno.

Non abbassiamo la guardia!

@RIPRODUZIONE RISERVATA

Articolo 1 di 5