Решения Fortinet 18 месяцев содержали встроенные ключи шифрования

В трех продуктах компании Fortinet были обнаружены встроенные ключи шифрования, подвергающие данные клиентов риску пассивного перехвата. Компании потребовалось более 10 месяцев на исправление проблемы.

Встроенные ключи шифрования были обнаружены в FortiOS (версии 6.0.6 и ниже) для межсетевых экранов FortiGate и в антивирусном программном обеспечении FortiClient для macOS (6.2.1 и ниже) и Windows (6.0.6 и ниже). Данные продукты используют ненадежное шифрование (XOR) и встроенные криптографические ключи для связи с различными облачными сервисами FortiGate. Ключи используются для шифрования пользовательского трафика в функции web-фильтра FortiGuard, антиспама FortiGuard и антивирусного ПО FortiGuard.

Злоумышленник, наблюдающий за трафиком пользователя или компании, может легко получить встроенные ключи шифрования и расшифровать поток данных. В зависимости от того, какой продукт использует компания, злоумышленник может узнать, какие сайты посещал пользователь, перехватить данные электронной почты и данные антивирусной программы.

Также злоумышленник может воспользоваться встроенным ключом шифрования для модификации и перешифровки ответов и таким образом блокировать предупреждения об обнаружении вредоносных программ или URL-адресов.

Хотя Fortinet была проинформирована о проблемах в мае 2018 года, компания подтвердила их наличие лишь спустя три недели. Исправление уязвимостей заняло еще больше времени — Fortinet удалила встроенные ключи шифрования из последних версий FortiOS только в марте 2019 года. Затем компании потребовалось еще восемь месяцев, чтобы удалить их из старых версий, а последний патч был выпущен ранее в этом месяце.

Пользователям рекомендуется обновиться до версий FortiOS 6.0.7 или 6.2.0, версии FortiClientWindows 6.2.0 и версии FortiClientMac 6.2.2.