Posté le septembre 26, 2020 à 13:53

200 000 ENTREPRISES EXPOSÉES AUX HACKERS GRÂCE AUX PARAMÈTRES PAR DÉFAUT DU VPN FORTINET

Alors que la pandémie continue de provoquer une augmentation considérable du nombre de personnes travaillant à domicile, les menaces numériques se sont multipliées afin d’exploiter les faiblesses des infrastructures de travail à distance.

En capitalisant sur les préoccupations sanitaires liées à la pandémie, les hackers sont capables de mener de nouvelles attaques malveillantes.

L’utilisation de la défaillance constitue un gros risque

SAM Seamless Network, un fournisseur de plateforme de sécurité réseau, affirme que plus de 200 000 entreprises ayant déployé la solution VPN Fortigate pour la connexion des employés à distance, sont vulnérables aux attaques de type « man-in-the-middle » (MitM).

Les attaques MitM impliquent qu’un hacker présente un certificat SSL valide, pouvant ainsi prendre frauduleusement le contrôle d’une connexion. Il convient toutefois de noter que cela ne s’applique qu’aux entreprises qui ont conservé les paramètres par défaut. Toute personne extérieure est en sécurité.

Niv Hertz et Lior Tashimov, du laboratoire de sécurité IdO de SAM, ont expliqué qu’ils avaient rapidement découvert que le VPN SSL n’est pas aussi protégé qu’il devrait l’être dans les configurations par défaut. Ainsi, ces réseaux sont des cibles faciles lorsqu’il s’agit d’une attaque MitM.

Le paramètre par défaut omet certaines vérifications

La société a expliqué que le client SSL-VPN de Fortigate ne fait que vérifier que le autorité de certification (CA) a été émis par Fortigate ou par une autre autorité de certification de confiance. Cela signifie qu’un attaquant peut facilement présenter un certificat émis par un autre routeur Fortigate, sans pour autant déclencher d’alarme. À partir de là, ces acteurs malveillants peuvent lancer une attaque MitM.

Afin de le prouver, les chercheurs ont utilisé un dispositif IdO compromis. Ce dispositif est utilisé pour déclencher une attaque MitM peu après que le client VPN Fortinet ait initié une connexion. De là, le dispositif vole les informations d’identification avant de les transmettre au serveur, usurpant ensuite le processus d’authentification.

La validation du certificat SSL est un moyen pour un site web ou un domaine de se porter garant de son authenticité, généralement en vérifiant une série de détails. Ces informations comprennent sa signature numérique, sa période de validité, si le sujet du certificat correspond ou non au serveur auquel le client se connecte, et s’il a été émis par une autorité de certification (CA) à laquelle il peut faire confiance.

Une simple opération pour ceux qui savent ce qu’il faut faire

Toutefois, le problème, comme l’ont souligné les chercheurs, est que les paramètres par défaut tirent parti des certificats SSL auto-signés par l’entreprise.

Chaque routeur Fortigate est livré, à son tour, avec un certificat SSL par défaut qui est signé par Fortinet. Cela signifie que ce même certificat peut être usurpé par un tiers, à la seule condition que sa valeur et son émission soient assurées par Fortinet elle-même ou par une autre autorité de certification de confiance. Cela permet à l’attaquant de simplement rediriger le trafic vers un serveur qu’il contrôle, en décryptant le contenu et en volant les informations.

L’une des raisons principales de cette situation est la façon dont le certificat SSL par défaut utilisé par le routeur utilise le numéro de série de celui-ci comme nom de serveur pour le certificat. Fortinet peut utiliser le numéro de série du routeur pour vérifier si le nom du serveur correspond, mais le client ne vérifie pas le nom du serveur du tout. Ceci, à son tour, permet une authentification frauduleuse.

Les menaces existantes

En faisant cet exploit, les chercheurs ont réussi à décrypter le trafic du client SSL-VPN de Fortinet, en extrayant ensuite l’OTP et le mot de passe de l’utilisateur.

La firme a précisé qu’un attaquant serait capable d’injecter son propre trafic, également. L’attaquant serait capable de communiquer avec tous les appareils internes de l’entreprise, des centres de données sensibles aux systèmes de points de vente. L’entreprise a mis en garde contre le fait qu’il s’agit là d’une faille de sécurité importante, qui pourrait entraîner des niveaux d’exposition élevés des données.

Fortinet s’abstient de tout changement

Fortinet, à son tour, a clairement indiqué qu’il n’avait aucun plan pour résoudre ce problème, ce qui n’est jamais une bonne chose à dire. Elle a plutôt suggéré que les utilisateurs remplacent manuellement le certificat par défaut, en s’assurant que les connexions sont à l’abri des attaques MitM.

Cependant, Fortinet met en garde contre l’utilisation de certificats par défaut. L’avertissement stipule que le certificat par défaut intégré rendra les utilisateurs incapables de vérifier le nom de domaine de leurs serveurs respectifs. Ainsi, l’avertissement recommande aux utilisateurs d’acheter un certificat pour le domaine, en le téléchargeant pour l’utiliser.