Vulnerabilitatea de configurare Fortinet VPN ascunde atacuri de tip brute-force
Sursă: https://www.bleepingcomputer.com
O vulnerabilitate de configurare în mecanismul de înregistrare al serverului Fortinet VPN poate fi exploatată pentru a ascunde verificarea cu succes a credențialelor în timpul unui atac de tip brute-force, fără a avertiza utilizatorii autentificărilor compromise.
Deși atacul brute-force este încă vizibil, o nouă tehnică permite înregistrarea doar a încercărilor eșuate, nu și a celor reușite, generând un fals sentiment de securitate.
Serverul FortiClient VPN stochează activitatea de conectare utilizând un proces în două etape care constă într-o etapă de autentificare și una de autorizare.
O echipă de specialiști au descoperit că o autentificare reușită este înregistrată numai dacă procesul trece atât de etapa de autentificare, cât și de cea de autorizare, în caz contrar, FortiClient VPN va înregistra o autentificare eșuată.
Specialiștii au utilizat instrumentul de testare a securității aplicațiilor Burp pentru a înregistra interacțiunile dintre client și serverul VPN.
Aceștia au observat că răspunsul la solicitarea HTTPS inițială arată credențiale valide (prin valoarea ret=1), o autentificare eșuată (ret=0) sau răspunsul A apărut o eroare în cazul mai multor încercări consecutive eșuate.
În termeni mai simpli, autentificarea confirmă doar faptul că datele de conectare (credențialele) sunt valide, iar autorizarea stabilește o sesiune VPN.
Cu toate acestea, dacă procesul este oprit după etapa de autentificare, serverul VPN înregistrează doar încercările eșuate, nu și pe cele reușite, deoarece nu a continuat cu următoarea etapă de autorizare.
Problema generată în acest caz este că nu se poate determina dacă o încercare a unui atac de tip brute-force a avut succes și vor fi expuse doar jurnalele (log-urile) pentru procesele eșuate.
Încercările de autentificare eșuate vor semnala în continuare unui administrator Fortinet că dispozitivul său este supus unui atac de tip brute-force și îi vor permite să blocheze încercările.
Cu toate acestea, ei nu vor ști că atacatorul a reușit să verifice cu succes credențialele.
De remarcat faptul că, indiferent dacă un atacator identifică un set de credențiale corecte și le utilizează în cadrul unui atac, procesul de autorizare se finalizează numai după ce FortiClient VPN trimite două apeluri API care verifică conformitatea cu securitatea dispozitivului și nivelul de acces al utilizatorului.
Sursă: https://www.bleepingcomputer.com/news/security/fortinet-vpn-design-flaw-hides-successful-brute-force-attacks/
