Цар тахлын нөлөөгөөр бизнесүүд алсын зайнаас буюу гэрээсээ ажиллаж, цаашдаа ч энэ чин хандлага үргэлжлэх төлөвтэй байна. Гэвч энэ нь бизнесүүдийн хувьд дэд бүтэц, мэдээллийн аюулгүй байдлын сул талыг ашиглан үйлдэх халдлагууд нэмэгдэж байна. Сүлжээний аюулгүй байдлын платформ нийлүүлэгч SAM Seamless Network-н мэдээлснээр Fortigate VPN шийдлийг үндсэн буюу default тохиргоотойгоор ашигладаг, зайнаас ажилладаг 200,000 гаруй бизнес эрхлэгчид дунд man-in-the-middle (MitM) өртөх боломжийг олгож байсан буюу хүчинтэй SSL сертификат ашиглан сүлжээнд холбогдох боломжтой байсан.  

SAM IoT аюулгүй байдлын лабораторийн Niv Hertz болон Lior Tashimov нар хэлэхдээ “Үндсэн буюу Default тохиргоотой SSL VPN нь байх ёстой хэмжээдээ хамгаалагдаагүй байсан бөгөөд MitM халдлагад амархан өртөх боломжтой байсныг маш хурдан олж илрүүлсэн.”  

Fortigate SSL-VPN клиент нь CA-г Fortigate-р л итгэмжлэгдсэн гэдгийг баталгаажуулдаг бөгөөд энэ нь халдлага үйлдэгчдэд өөр Fortigate Router-н сертификатыг ашиглан ямар нэг мэдэгдэлгүйгээр нэвтрэн дурын Fortigate төхөөрөмжид нэвтрэн MitM халдлагыг үйлдэх боломжтой байсныг мэдсэн.  

Үүнийг мэдэхийн тулд судлаачид Fortinet VPN клиент холболтыг үүсгэн, дараагаар нь MitM халдлагыг хийхэд ашиглагдах IoT төхөөрөмжийг тохируулсан бөгөөд энэ нь сервер рүү итгэмжлэгдсэн мэдээллийг дамжуулахаас өмнө хулгайлан, баталгаажуулалтын процессыг мэхэлнэ гэсэн үг юм. 

Вэбсайт болон домэйний аюулгүй, жинхэнэ эсэхийг баталгаажуулдаг SSL баталгаажуулалт нь ихэвчлэн хүчинтэй хугацаа болон дижитал гарын үсэг, СА-р баталгаажсан эсвэл сертификатын мэдээлэл нь серверт холбогдож байгаад клиентийн мэдээлэлтэй тохирч байгаа эсэхийг баталгаажуулах замаар ажилладаг.  

Судлаачдын олж мэдсэн гол асуудал бол байгууллагууд үндсэн self-signed SSL сертификат ашиглаж байгаатай холбоотой гэж үзсэн. Учир нь Fortigate-н router-үүд нь Fortinet-р баталгаажсан үндсэн буюу Default SLL сертификаттай бөгөөд түүнийг нь ашиглан халдагч сүлжээнд нэвтрэх, серверийн урсгалыг хянах болон контентуудыг decrypt хийх боломжийг олгох байсан. Үндсэн SSL сертификат нь Router-н сериал дугаарыг сертификатын серверийн нэр болгон ашиглаж байсан нь гол шалтгаан нь байсан. Fortinet дээр router-н сериал дугаарыг таарч байгаа эсэхийг серверийн нэр таарч байгааг шалгаж болох хэдий ч клиент нь серверийн нэрийг баталгаажуулдаггүй байсан нь халдагчдад орон зай үлдээсэн гэж хэлж болно. Судлаачид яг энэ сценари дээрээс Fortinet SSL-VPN клиентийн урсгалыг тайлж, хэрэглэгчийн нууц үг болон ОТР-г задалсан.  

Халдлага үйлдэгчдийн хувьд энэ нь хэрвээ амжилттай халдсан бол тухайн байгууллагын сүлжээнд өөрийн урсгалаа оруулан байгууллагын дотоод төхөөрөмжүүдтэй холбогдох, өгөгдөл хулгайлах гэх мэт маш том аюулыг дагуулж болзошгүй нөхцөл байдал үүсэх эрсдэлтэй байсан. 

Одоогийн байдлаар Fortinet-н зүгээс авч хэрэгжүүлж буй алхам бол хэрэглэгчдийн хувьд үндсэн тохиргоог гараар сольж, MitM-н халдлагаас сэргийлэхийг сануулан, тодорхой сануулгыг өгч байна. Энэхүү гарсан асуудал нь жижиг, дунд байгууллагуудын мэдээллийн аюулгүй байдал, ялангуяа цар тахлын үеийн гэрээсээ ажиллах боломжийг олгох үед гарч байгаа асуудлын зөвхөн ганц жишээ юм. Учир нь цар тахлын энэ үед жижиг, дунд байгууллагууд энэ нөхцөл байдалд бэлэн биш, хангалттай аюулгүй байдлын нөөц, чадамжгүй байдаг тул Fortinet компанийн зүгээс энэ тал дээр онцгойлон анхаарч байгаа бөгөөд бүх тусламж, мэдээллээр ханган ажиллаж байна.  

https://thehackernews.com/2020/09/fortigate-vpn-security.html