0
Achtung: Sicherheitslücke im FortiClient VPN-Client
Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle eine kurze Information an Administratoren solcher Umgebungen. Der VPN-Client der Fortinet FortiClient-Lösung weist eine Schwachstelle auf, die die VPN Authentifizierungsdaten für Dritte offen legen kann.
Worum geht es genau?
Von Fortinet ist die Software FortiClient als NextGeneration Endpoint Protection-Lösung verfügbar. FortiClient steht für Linux, Mac und Windows zur Verfügung. Die Software bietet einen Endgeräteschutz (Endpoint Protection) vor Bedrohungen durch neue Malware (Antivirus), verspricht eine Kontrolle des Software- und Hardwarebestands über die gesamte Sicherheitsstruktur hinweg und stellt auch einen VPN-Client zur Verfügung. Im VPN-Client gibt es aber eine Sicherheitslücke, die das Abgreifen der verschlüsselten VPN-Authentifizierungsdaten ermöglicht. Durch eine ungeschickte Handhabung des Schlüssels lassen sich diese Daten aber durch einen Angreifer entschlüsseln.
Details zur Sicherheitslücke im FortiClient
Sicherheitsforschern von SecConsult ist aufgefallen, dass der VPN-Client die VPN-Authentifizierungsdaten recht eigenwillig speichert. Diese werden unter Linux und macOS in Konfigurationsdateien gespeichert, während in Windows die Registrierung zur Speicherung herhalten muss. Die VPN-Authentifizierungsdaten sind zwar verschlüsselt, was schon mal gut ist. Weniger gut ist aber der Umstand, dass der Schlüssel zum Decodieren der VPN-Authentifizierungsdaten fest im Programm abgelegt ist. Daher wird der gleiche Schlüssel für alle Nutzer und Installationen verwendet.
Dummerweise sind die Read-Berechtigungen für diese Konfigurationsdaten so gesetzt, dass diese öffentlich und weltweit über ein Netzwerk abrufbar sind. Das heißt: Normale Nutzer können innerhalb eines Netzwerks die verschlüsselten Daten von Kollegen abgreifen - und ein böswilliger Angreifer hätte die Möglichkeit, die VPN-Authentifizierungsdaten zu entschlüsseln.
Sicherheitsforscher von SecConsult haben zu diesem Thema ein Security Advisory herausgegeben, welches weitere Details zu diesen Szenario aufweist.
Welche Versionen sind betroffen?
Die Sicherheitslücke (CVE-2017-14184) betrifft unter Windows und macOS den FortiClient 5.6.0 und frühere Versionen. Unter Linux sind der FortiClient 4.4.2334 und frühere Versionen betroffen.
Es gibt bereits Updates
Fortinet hat zwischenzeitlich aber ein Advisory veröffentlicht und stellt Updates bereit: Windows (FortiClient 5.6.2), macOS (FortiClient 5.6.1), Linux (together with FortiOS 5.4.7). Keine Ahnung, ob Fortinet betroffene Kunden per E-Mail informiert. (via BornCity)
Worum geht es genau?
Von Fortinet ist die Software FortiClient als NextGeneration Endpoint Protection-Lösung verfügbar. FortiClient steht für Linux, Mac und Windows zur Verfügung. Die Software bietet einen Endgeräteschutz (Endpoint Protection) vor Bedrohungen durch neue Malware (Antivirus), verspricht eine Kontrolle des Software- und Hardwarebestands über die gesamte Sicherheitsstruktur hinweg und stellt auch einen VPN-Client zur Verfügung. Im VPN-Client gibt es aber eine Sicherheitslücke, die das Abgreifen der verschlüsselten VPN-Authentifizierungsdaten ermöglicht. Durch eine ungeschickte Handhabung des Schlüssels lassen sich diese Daten aber durch einen Angreifer entschlüsseln.
Details zur Sicherheitslücke im FortiClient
Sicherheitsforschern von SecConsult ist aufgefallen, dass der VPN-Client die VPN-Authentifizierungsdaten recht eigenwillig speichert. Diese werden unter Linux und macOS in Konfigurationsdateien gespeichert, während in Windows die Registrierung zur Speicherung herhalten muss. Die VPN-Authentifizierungsdaten sind zwar verschlüsselt, was schon mal gut ist. Weniger gut ist aber der Umstand, dass der Schlüssel zum Decodieren der VPN-Authentifizierungsdaten fest im Programm abgelegt ist. Daher wird der gleiche Schlüssel für alle Nutzer und Installationen verwendet.
Dummerweise sind die Read-Berechtigungen für diese Konfigurationsdaten so gesetzt, dass diese öffentlich und weltweit über ein Netzwerk abrufbar sind. Das heißt: Normale Nutzer können innerhalb eines Netzwerks die verschlüsselten Daten von Kollegen abgreifen - und ein böswilliger Angreifer hätte die Möglichkeit, die VPN-Authentifizierungsdaten zu entschlüsseln.
Sicherheitsforscher von SecConsult haben zu diesem Thema ein Security Advisory herausgegeben, welches weitere Details zu diesen Szenario aufweist.
Welche Versionen sind betroffen?
Die Sicherheitslücke (CVE-2017-14184) betrifft unter Windows und macOS den FortiClient 5.6.0 und frühere Versionen. Unter Linux sind der FortiClient 4.4.2334 und frühere Versionen betroffen.
Es gibt bereits Updates
Fortinet hat zwischenzeitlich aber ein Advisory veröffentlicht und stellt Updates bereit: Windows (FortiClient 5.6.2), macOS (FortiClient 5.6.1), Linux (together with FortiOS 5.4.7). Keine Ahnung, ob Fortinet betroffene Kunden per E-Mail informiert. (via BornCity)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 358430
Url: https://administrator.de/contentid/358430
Printed on: April 19, 2024 at 21:04 o'clock
