Поставщику продуктов для кибербезопасности Fortinet потребовалось полтора года, чтобы удалить жестко закодированные ключи шифрования из трех продуктов, которые подвергали данные клиентов риску пассивного перехвата, пишет портал ZDNet.
Проблема была обнаружена еще в мае 2018 г. специалистом SEC Consult Штефаном Фибеком в таких продуктах Fortinet, как брандмауэр FortiOS for FortiGate (версия FortiOS 6.0.6 и более ранние) и ПО для защиты конечных точек FortiClient (антивирус) для Mac (версия FortiClientMac 6.2.1 и более ранние) и Windows (версия FortiClientWindows 6.0.6 и более ранние).
Эти ключи использовались для шифрования пользовательского трафика во время работы функций веб-фильтра, антиспама, антивируса в FortiGuard, а также для связи этих продуктов с различными облачными сервисами FortiGate. Помимо жестко закодированных ключей шифрования в них также применялся слабый шифр (XOR). Опасность состояла в том, что потенциально хакеры могли перехватить ключи шифрования и расшифровать слабо защищенный поток данных пользователя или компании. В таком случае в руках атакующего могли оказаться:
- полные HTTP- или HTTPS-ссылки, посещенные пользователями, которые проверяются функцией Web Filter;
- данные электронной почты, которые проходят тестирование через AntiSpam;
- собранные антивирусом данные, которые передаются для тестирования в облако Fortinet.
Также злоумышленник имел возможность использовать ключи для изменения и повторного шифрования ответов сервера, что, например, позволяло исказить предупреждения об обнаружении вирусов или опасных URL-адресов.
Исправление этих проблем заняло немало времени. Так, инженеры Fortinet удалили ключ из последних версий FortiOS только в марте 2019 г., через десять месяцев после обнаружения бага. Еще восемь месяцев потребовалось, чтобы удалить ключи из старых версий, а последний патч и вовсе был выпущен только в ноябре 2019 г.
Пользователям рекомендуется как можно скорее обновить FortiOS до версий 6.0.7 или 6.2.0, FortiClientWindows до версии 6.2.0 и FortiClientMac до версии 6.2.2.