Fortinet VPN sunucusunun günlük kaydı mekanizmasındaki bir tasarım kusuru, uzlaşmış girişlerin savunucularını devirmeden kaba kuvvet saldırısı sırasında kimlik bilgilerinin başarılı bir şekilde doğrulanmasını gizlemek için kaldırılabilir.
Brute-Force saldırısı hala görülebilir olsa da, yeni bir teknik sadece başarısız girişimlerin kaydedilmesine izin verir ve başarılı olanları değil, yanlış bir güvenlik duygusu yaratır.
Forticlient VPN sunucusu, bir kimlik doğrulama ve yetkilendirme aşamasından oluşan iki aşamalı bir işlem kullanarak giriş etkinliğini depolar.
Otomatik güvenlik doğrulama çözümleri sunan bir şirket olan Pentera'daki araştırmacılar, başarılı bir girişin ancak işlemin hem kimlik doğrulaması hem de yetkilendirme adımlarını geçmesi durumunda kaydedildiğini keşfettiler; Aksi takdirde, Forticlient VPN başarısız bir kimlik doğrulamasını kaydedecektir.
Pentera güvenlik araştırmacısı Peter Viernik, “[…] Başarısız olanlar kimlik doğrulama aşamasında oturum açmıştır, ancak başarılı olanlar yetkilendirme aşamasında giriş aşamasında oturum açılır, bu yüzden evet, bir komut dosyası veya bir VPN istemcisi ile tam bir giriş,” dedi Pentera güvenlik araştırmacısı Peter Viernik. BleepingComputer.
Bugün bir raporda, siber güvenlik şirketi, araştırmacılarının kimlik doğrulama aşamasından sonra tam giriş sürecini durdurmak için nasıl bir yöntem geliştirdiklerini ve başarıyı günlüğe kaydetmeden valideVPN bilgilerini doğrulamalarına izin verdiğini açıklıyor.
Araştırmacılar, istemci ve VPN sunucusu arasındaki etkileşimleri kaydetmek için Burp Uygulama Güvenlik Test Aracını kullandılar.
İlk HTTPS isteğine verilen yanıtın geçerli kimlik bilgilerini (“ret = 1” değeri yoluyla), başarısız bir kimlik doğrulama (“ret = 0”) veya “bir hata oluştu” yanıtı, birbirini takip eden çoklu başarısız girişimlerde gösterdiğini fark ettiler.
Daha basit terimlerle, kimlik doğrulama sadece kimlik bilgilerinin geçerli olduğunu ve yetkilendirmenin bir VPN oturumu oluşturduğunu doğrular.
Ancak, süreç kimlik doğrulama aşamasından sonra durdurulursa, VPN sunucusu bir sonraki yetkilendirme adımına devam etmediğinden, başarılı olanları değil yalnızca başarısız denemeleri kaydeder.
“Kimlik doğrulama aşamasında başarılı kimlik doğrulama girişimlerini kaydedememe önemli bir güvenlik riski sunuyor. Saldırganlar, başarılı girişimlerini tespit etmeden kaba kuvvet saldırıları yapmak için bu kırılganlığı potansiyel olarak kullanabilir ” - Pentera
Bu şekilde oluşturulan sorun, bir olay müdahale ekibinin böyle bir saldırıdaki kaba kuvvet girişiminin başarılı olup olmadığını ve yalnızca başarısız süreçler için günlükleri göreceğini belirleyememesidir.
Başarısız kimlik doğrulama denemeleri, bir Fortinet yöneticisini cihazlarının kaba kuvvet saldırısı altında olduğunu ve girişimleri potansiyel olarak engellemelerine izin verecek.
Ancak, saldırganın kimlik bilgilerini başarıyla doğrulayabildiğini bilmeyecekler. Bu kimlik bilgileri daha sonra diğer tehdit aktörlerine satılabilir veya yöneticiler artık kötü niyetli etkinlik için uyanık olmadığında ağı ihlal etmek için daha sonra kullanılabilir.
Bir tehdit oyuncusu doğru bir giriş seti belirlese ve bunları bir saldırıda kullansa bile, yetkilendirme sürecinin yalnızca Forticlient VPN'nin cihazın güvenlik uyumluluğunu ve kullanıcının erişim düzeyini doğrulayan iki API çağrısı gönderdikten sonra tamamlandığını belirtmek gerekir.
Bu kontrol saldırıyı önemli ölçüde karmaşıklaştırır, ancak iyi kaynaklanan bir saldırgan, bir kuruluşun ağını ihlal etmek için Pentera'nın yöntemini kullanabilir.
Pentera, araştırmayı Fortinet ile paylaştıklarını ve şirketin sorunu bir güvenlik açığı olarak görmediğini söyleyerek yanıtladığını söyledi. Fortinet'in sorunu ele alıp almayacağı belirsizdir, özellikle de karmaşık bir düzeltme olmadığı için.
Bugünkü açıklamanın bir parçası olarak Pentera, Fortinet VPN kimlik bilgilerini doğrulamak için bu tasarım kusurunu kullanan bir senaryo yayınladı.
BleepingComputer dün konuyla ilgili bir yorum için Fortinet'e ulaştı, ancak zaman yayınlamadan önce bir açıklama yapılmadı.
Kaynak: Bleeping Computer