Algunos productos Fortinet se envían con claves de cifrado codificadas


Fortinet

Imagen: Fortinet, ZDNet

Fortinet, un proveedor de productos de seguridad cibernética, tardó entre 10 y 18 meses en eliminar una clave de cifrado codificada de tres productos que exponían los datos del cliente a una intercepción pasiva.

La clave de cifrado codificada se encontró dentro de FortiOS para los firewalls FortiGate y el software package de protección de punto final (antivirus) FortiClient para Mac y Windows.

Estos tres productos utilizaron un cifrado de cifrado débil (XOR) y claves criptográficas codificadas para comunicarse con varios servicios en la nube FortiGate.

Las claves codificadas se utilizaron para encriptar el tráfico de usuarios para la función FortiGuard World wide web Filter, la función FortiGuard AntiSpam y la función FortiGuard AntiVirus.

Un actor de amenazas en condiciones de observar el tráfico de un usuario o de una empresa podría haber tomado las claves de cifrado codificadas y descifrar esta secuencia de datos débilmente cifrada. Dependiendo de qué producto estaba usando una empresa, el atacante habría aprendido:

– Enlaces HTTP o HTTPS completos para la actividad de navegación net de los usuarios (enviados para probar a la función Filtro world wide web)
– Datos de correo electrónico enviados para probar a la función AntiSpam)
– Datos antivirus (enviados para probar a la función antivirus (nube de Fortinet))

Pero además de rastrear el tráfico de un usuario, el atacante también podría haber usado la misma clave de cifrado codificada para alterar y volver a cifrar las respuestas, neutralizando alertas para detecciones de malware o URL erróneas.

Tomó meses arreglar esto

Los problemas fueron descubiertos en mayo de 2018 por Stefan Viehböck, investigador de seguridad de SEC Talk to. El proceso de informar y solucionar estos problemas por Fortinet ha sido anormalmente largo y lento.

Por ejemplo, aunque la mayoría de las empresas reconocen los informes de errores el mismo día, pasaron tres semanas hasta que un empleado de Fortinet se hizo cargo del caso.

Arreglar los errores tomó aún más tiempo. Fortinet eliminó la clave de cifrado de las versiones recientes de FortiOS solo en marzo de 2019, diez meses después del informe inicial.

Luego tomó otros ocho meses eliminar las claves de cifrado de versiones anteriores, y el último parche se lanzó a principios de este mes.

A continuación se muestran los productos Fortinet afectados:

  • FortiOS 6..6 y menos
  • FortiClientWindows 6..6 y versiones inferiores
  • FortiClientMac 6.2.1 y debajo

Se recomienda a los administradores del sistema que apliquen los siguientes parches para eliminar las claves de cifrado codificadas:

  • FortiOS 6..7 o 6.2.
  • FortiClientWindows 6.2.
  • FortiClientMac 6.2.2

Contactado por ZDNet, un portavoz de Fortinet explicó por qué la compañía se tomó tanto tiempo para solucionar los problemas reportados:

«La seguridad de nuestros clientes es la máxima prioridad en Fortinet. Una vez que el problema fue revelado a Fortinet, de inmediato comenzamos a trabajar con nuestro equipo de investigación interno para desarrollar actualizaciones de software para los productos afectados. Como parte de ese proceso, el equipo se tomó el tiempo para diseñar una solución al tiempo que protege la conexión a los Servicios de FortiGuard para nuestros clientes. Manteniendo nuestras políticas de divulgación responsables para proteger a los clientes, Fortinet no distribuye un aviso hasta que todas las soluciones estén implementadas, probadas y en su lugar para los productos afectados «.

El código de demo y de escritura de Viehböc está disponible en el sitio web de SEC Seek advice from. El aviso de seguridad de Fortinet está disponible aquí.

Artículo actualizado el 26 de noviembre con comentario de Fortinet.



Enlace a la noticia initial