Criticità in Tecnologie SSL-VPN Fortigate

 Proto: N040920.

Con la presente Yoroi desidera informarla riguardo ad una importante criticità che interessa i moduli SSL VPN degli appliance Fortigate, apparati di sicurezza particolarmente diffusi in ambienti SMB ed Enterprise.  

La problematica è causata dalle lacune nella validazione dei certificati SSL utilizzati per l’instaurazione delle connessioni VPN. Infatti, qualora venga utilizzato un certificato SSL di default nel proprio gateway Fortigate, il client VPN non valida correttamente l’attendibilità del certificato. Un attaccante con possibilità di condurre attacchi Man-in-the-Middle può quindi confondere gli endpoint VPN Fortigate somministrando un certificato SSL fittizio generato ad hoc, inserendosi così nella comunicazione VPN ed accedendo a traffico e credenziali trasmesse all’interno del canale sicuro. Questa condizione rappresenta un rischio di sicurezza in scenari di attacco come:

1. Reti con presenza di dispositivi IoT compromessi. I dispositivi infetti in rete possono utilizzare tecniche automatizzate di MitM locale per fingersi Gateway Fortigate agli occhi del client VPN. 
2. Attacchi tramite Wi-Fi. Attacchi hacker rivolti alle infrastrutture wireless come Fake-AP o Evil-Twin possono permettere di condurre attacchi MitM locali e di accedere al traffico VPN.
3. Manipolazioni delle route internet BGP. Attacchi a livello di Internet Service Provider in grado di redirezionare porzioni di traffico internet verso destinazioni arbitrarie possono abilitare attacchi MitM, furti di credenziali, accessi e sessioni VPN su larga scala. 

Figura. Esempio Scenari di Attacco, in rosso gli elementi compromessi.

Benché il Vendor sia al corrente della problematica, non ha rilasciato bollettini di sicurezza in quanto la problematica è legata all’utilizzo di configurazioni di default, la quale variazione viene ritenuta di competenza degli utilizzatori di apparati Fortigate.

Considerata la diffusione degli apparati di sicurezza Fortinet in aziende ed organizzazioni, la loro esposizione internet, l’incremento delle modalità di lavoro remoto e dell’utilizzo delle funzionalità VPN, i trend di attacco verso i dispositivi IoT in crescita e lo sfruttamento del vettore Wi-Fi durante operazioni di spionaggio (e.g. DarkHotel), Yoroi consiglia di valutare e pianificare la configurazione di certificati Server personalizzati all’interno delle configurazioni dei Gateway SSL-VPN Fortigate e di utilizzare autenticazioni multi-fattore.  

Figura. Esempio configurazione certificati SSL-VPN (Source:SAM)

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index