Bl0ckch41nnewsFallo en el diseño de la VPN de Fortinet oculta ataques de fuerza bruta exitosos
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet
puede aprovecharse para ocultar la verificación exitosa de credenciales
durante un ataque de fuerza bruta sin alertar a los defensores de los inicios
de sesión comprometidos.
Aunque el ataque de fuerza bruta todavía es visible, una nueva técnica permite
registrar solo los intentos fallidos y no los exitosos, lo que genera una
falsa sensación de seguridad.
Verificación de credenciales de VPN
El servidor VPN de FortiClient almacena la actividad de inicio de sesión
mediante un proceso de dos pasos que consta de una etapa de autenticación y
otra de autorización.
Los
investigadores de Pentera, descubrieron
que un inicio de sesión exitoso solo se registra si el proceso pasa tanto la
etapa de autenticación como la de autorización; de lo contrario, FortiClient
VPN registrará una autenticación fallida.
En un informe publicado hoy, la empresa de ciberseguridad describe cómo sus
investigadores idearon un método para detener el proceso de inicio de sesión
completo después de la etapa de autenticación, lo que les permite validar las
credenciales de VPN sin registrar el éxito.
Los investigadores utilizaron la herramienta de prueba de seguridad de
aplicaciones Burp para registrar las interacciones entre el cliente y el
servidor VPN.
Observaron que la respuesta a la solicitud HTTPS inicial muestra credenciales
válidas (a través de un valor «ret=1»), una autenticación fallida («ret=0») o
la respuesta «Se produjo un error» en caso de múltiples intentos fallidos
consecutivos. En términos más simples, la autenticación solo confirma que las
credenciales son válidas y la autorización establece una sesión VPN.
Sin embargo, si el proceso se detiene después de la etapa de autenticación, el
servidor VPN solo registra los intentos fallidos, y no los exitosos, ya que no
continuó con el siguiente paso de autorización.
«La incapacidad de registrar intentos de autenticación exitosos en la fase
de autenticación presenta un riesgo de seguridad significativo. Los
atacantes podrían explotar potencialmente esta vulnerabilidad para realizar
ataques de fuerza bruta sin detectar sus intentos exitosos»
– Pentera
El problema generado de esta manera es que un equipo de respuesta a incidentes
no puede determinar si un intento de fuerza bruta en un ataque de este tipo
fue exitoso y solo verá registros de procesos fallidos.
Los intentos de autenticación fallidos aún alertarán a un administrador de
Fortinet de que su dispositivo está bajo un ataque de fuerza bruta y le
permitirán bloquear potencialmente los intentos. Sin embargo, no sabrán que el
atacante pudo verificar las credenciales con éxito. Estas credenciales luego
se pueden vender a otros actores de amenazas o usar en un momento posterior
para violar la red, cuando los administradores ya no estén alertas a la
actividad maliciosa.
Vale la pena señalar que incluso si un actor de amenazas determina un conjunto
de inicio de sesión correcto y lo usa en un ataque, el proceso de autorización
solo se completa después de que FortiClient VPN envíe dos llamadas API que
verifican el cumplimiento de la seguridad del dispositivo y el nivel de acceso
del usuario.
Esta verificación complica significativamente el ataque, pero un atacante con
buenos recursos aún podría usar el método de Pentera para violar la red de una
organización. Pentera dice que compartió la investigación con Fortinet y la
compañía respondió diciendo que no consideraba que el problema fuera una
vulnerabilidad. No está claro si Fortinet abordará el problema, especialmente
porque no es una solución complicada.
Como parte de la divulgación de hoy, Pentera lanzó un
script
que explota esta falla de diseño para verificar las credenciales de Fortinet
VPN.
Fuente:
BC
Los comentarios están cerrados.