为了应对冠状病毒在世界各地的传播,许多组织部署了VPN解决方案,包括Fortigate VPN,以允许雇主在家工作。VPN解决方案的配置对于保证组织的安全和避免危险的意外非常重要。
根据网络安全平台提供商SAM Seamless Network统计,超过20万个企业已经部署了具有默认设置的Fortigate VPN解决方案。这种选择允许攻击者提供有效的SSL证书,并对员工的连接执行中间人(MitM)攻击。
“令人惊讶(或者不是?),我们很快发现,在默认配置下,sslvpn没有得到应有的保护,很容易受到MITM攻击。Fortigate SSL-VPN客户端只验证CA是由Fortigate(或其他受信任的CA)颁发的,因此攻击者可以轻松地将颁发给不同Fortigate路由器的证书呈现出来,而无需升起任何标志,并实施中间人攻击。我们在几分钟内搜索并找到了20多万家易受攻击的企业。”
专家指出,Fortigate SSL-VPN客户端只验证CA是由Fortigate或另一个可信CA颁发的,这使得攻击者可以出示颁发给不同Fortigate路由器的证书来实施中间人攻击。
主要问题与自签名SSL证书有关
Fortigate路由器附带一个由Fortinet签名的默认SSL证书,这是一个自签名证书,其中包含路由器的序列号作为证书的服务器名称。
什么是自签名SSL证书?
自签名SSL证书,一般是指由不受信任的任意机构或个人,使用工具自己签发的SSL证书。天威诚信提醒您这些不受信任的机构和个人因为不受任何第三方的监督和审核,所以可以随意签发自签名SSL证书,但其签发的SSL证书也不被浏览器和操作系统所信任,所以经常被不法分子用于伪造证书进行中间人攻击。
自签名SSL证书容易被假冒和伪造
因为自签名SSL证书是可以随意签发的,如果你的网站使用的是自签名SSL证书,那不法分子完全可以通过伪造一张相同的自签名证书,用于制作假冒钓鱼网站,这使得网站用户无法分辨出真假网站,上当受骗。
而第三方权威机构在签发SSL证书时,需要对申请企业的真实身份进行验证,不存在随意签发SSL证书的现象,不法分子难以伪造假冒。而部署了受信任的SSL证书的网站,用户在访问网站时浏览器便会识别SSL证书的真实信息和证书状态,天威诚信表示如果网站SSL证书配置的域名与实际的域名不符,或者出现证书已过期等其它情况时,浏览器都会提醒用户“此网站安全证书存在问题”进行警告,令假冒网站无处藏身!
专家强调,Fortinet的客户端根本不验证服务器名称,这意味着任何由Fortinet或任何其他可信CA颁发的证书都将被接受。攻击者可以将流量重新路由到其服务器,显示自己的证书,然后在攻击的视频PoC下解密流量。
不幸的是,Fortinet没有解决该漏洞的计划,它建议用户手动替换默认证书,并确保连接不受MitM攻击。
目前,当用户使用默认证书时,Fortinet会发出警告。
“您使用的是默认的内置证书,它将无法验证服务器的域名(您的用户将看到一个警告)。建议您为您的域购买一个证书并上载以供使用。
天威诚信作为中国唯一一家由DigiCert直接授权且由中国工信部批准的CA认证机构,可购买DigiCert 、Geotrust、GlobalSign、Entrust、vTrus 等品牌的SSL证书,同时拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可为用户提供优质的本地化服务与7*24小时技术支持。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
