Fortinet VPN服务器设计缺陷能隐藏攻击者行踪
2024-11-25 11:1:22 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据BleepingComputer消息,网络安全厂商Fortinet产品中的VPN 服务器存在一个设计漏洞,其日志记录机制能够隐藏成功实施暴力攻击的行为记录,无法让防御者察觉到系统可能已被入侵。

FortiClient 终端防御软件的VPN 服务器使用两步过程存储登录活动,该过程包括身份验证和授权阶段。只有当该过程同时通过身份验证和授权步骤时,才会记录成功登录;否则会记录验证失败。

自动化安全验证解决方案公司 Pentera 的研究人员发现,通过一种设计,在验证阶段后停止整个登录过程,从而在不记录成功登录的情况下验证 VPN 凭证。

研究人员使用 Burp 应用程序安全测试工具来记录客户端和 VPN 服务器之间的交互,他们注意到,初始 HTTPS 请求的响应会显示有效凭证、验证失败或在连续多次尝试失败时显示 "发生错误 "的响应。如果该过程在身份验证阶段后停止,则 VPN 服务器仅记录失败的尝试,而不记录成功的尝试,因为它没有继续执行下一个授权步骤。

因此,防御者无法确定此类攻击中的暴力尝试是否成功,并且只能看到失败进程的日志。尤其是当攻击者成功验证凭证后,防御者将无法察觉这些恶意活动。

值得注意的是,即使威胁行为者确定了正确的登录设置并将其用于攻击,授权过程也只有在 FortiClient VPN 发送两个 API 调用以验证设备的安全合规性和用户的访问级别后才会完成。 此验证使实施攻击变得复杂,但资源充足的攻击者仍然可以使用 Pentera 的研究方法成功入侵目标网络。

Pentera 与 Fortinet 分享了这项研究,但对方不认为该问题是个漏洞。目前尚不清楚 Fortinet 是否会解决这个问题。事后,Pentera 发布了一个脚本,能利用此设计缺陷来验证 Fortinet VPN 凭证。

参考来源:

Fortinet VPN design flaw hides successful brute-force attacks

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/416060.html
如有侵权请联系:admin#unsafe.sh