Grave Vulnerabilità in Servizi FortiGuard

Proto: N051119.

Con la presente Yoroi desidera informarLa riguardo ad una gravissima vulnerabilità all’interno dei servizi di sicurezza FortiGuard, utilizzati dagli appliance basati su FortiOS (FortiGuard Web Filter, AntiSpam, AntiVirus) e dagli agenti FortiClient per Windows e Mac. La criticità è nota con l’identificativo CVE-2018-9195.

La problematica risiede nell’uso di cifratura debole nei protocolli di comunicazione tra appliance e agenti verso i servizi cloud FortiGuard. Ricercatori di terze parti hanno scoperto che le chiavi di cifratura utilizzate per mettere in sicurezza questi flussi di comunicazione sono preconfigurate, “hardcoded”, ed il protocollo di cifratura risulta un semplice XOR, primitiva crittografica inidonea alla protezione di comunicazioni sensibili.

La mancata protezione dei flussi di rete verso i servizi cloud FortiGuard rende possibili agli attaccanti l’esecuzione di scenari di attacco di tipo Man-in-the-Middle (MitM) e di intercettazione del traffico. Tali circostanze possono comportare:

  • l’ottenimento di informazioni su configurazioni e stato di aggiornamento del perimetro di sicurezza;
  • il tracciamento di persone fisiche in trasferte lavorative;
  • l’accesso a dati relativi alle comunicazioni email;
  • il monitoraggio del traffico web degli utenti;
  • e qualora abilitato il modulo di “SSL inspection”, l’accesso ai contenuti protetti dai tunnel cifrati con HTTPS come credenziali, password di accesso a servizi online, comunicazioni personali e documenti in transito.

Il Produttore ha confermato la problematica con il bollettino FG-IR-18-100, con il quale ha reso disponibili aggiornamenti di sicurezza per le versioni:

  • FortiOS 6.0.6 ed inferiori
  • FortiClientWindows 6.0.6 ed inferiori
  • FortiClientMac 6.2.1ed inferiori

Per via della gravità della problematica e della relativa facilità di sfruttamento per attaccanti con accessi alle reti locali o globali, Yoroi consiglia caldamente di pianificare l’applicazione delle patch di sicurezza rese disponibili dal Produttore.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index