'Kwetsbare implementatie van rng maakt decryptie FortiOS-vpn-verkeer mogelijk'

Meerdere onderzoekers, waaronder de Amerikaanse cryptograaf Matthew Green, hebben kwetsbare implementaties ontdekt van een random number generator, Ansi X9.31. Deze komen voor in het FortiOS-besturingssysteem van fabrikant Fortinet.

De onderzoekers presenteren hun bevindingen in een paper en, licht ironisch, in de vorm van een speciale site met eigen logo en naam. Daarnaast heeft Green een eigen blogpost gepubliceerd. Daarin legt hij uit dat rng's in cryptografie worden gebruikt om willekeurige getallen te genereren. In het geval van X9.31, die tot 2016 door de Amerikaanse overheid was goedgekeurd via haar FIPS-programma, wordt daarbij gebruikgemaakt van een veranderende state value en een vaste sleutel. In 1998 bleek al dat dit een kwetsbaarheid is als de aanvaller achter deze sleutel komt.

Door een groot aantal implementaties van de rng door te lichten, kwamen de onderzoekers erachter dat onder meer Fortigate gebruikmaakt van een voorgeprogrammeerde sleutel, oftewel seed key. Een aanvaller kan deze uit de desbetreffende firmware halen en daarmee een aanval uitvoeren op vpn- en tls-verkeer. Zo is decryptie mogelijk voor een passieve aanvaller die het netwerkverkeer kan observeren en een timestamp kan bruteforcen met 2²⁴ pogingen. Dat duurt ongeveer vier minuten op een normale pc.

De onderzoekers schatten op basis van een internetscan dat ongeveer 25.000 apparaten van de fabrikant hierdoor getroffen zijn met versies 4.3.0. tot 4.3.18 van FortiOS. De fabrikant kwam in november van vorig jaar met een veiligheidsupdate. Hoewel het volgens de auteurs van de paper om oudere apparaten gaat, blijkt uit de aantallen dat deze alsnog in gebruik zijn.

Doordat de rng sinds 2011 de status deprecated had en in januari van de FIPS-lijst is afgehaald, lijken de gevolgen van de ontdekking te overzien, aangezien veel fabrikanten inmiddels updates hebben uitgebracht. De gepubliceerde aanval, die de naam DUHK heeft gekregen, is volgens de onderzoekers 'het gevolg van het falen van het federale standaardisatieproces voor cryptografie'. Zo benoemt geen van de beschrijvingen van het algoritme dat de seed key niet door de aanvaller te achterhalen mag zijn. Er zouden geen aanwijzingen zijn dat het lek, met kenmerk CVE-2016-8492, actief wordt misbruikt.

Andere, mogelijk kwetsbare implementaties

IT-banen

Reacties (50)

Sorki 24 oktober 2017 15:01

Mocht je sinds augustus 2014 geen upgrades meer gedaan hebben is dit het snelste upgrade path naar de laatste versie

4.3.18 >> 4.3.19 >> 5.0.14 >> 5.2.11 >> 5.4.5 >> 5.6.2

Bigs @Sorki • 24 oktober 2017 15:30

4.3 is inderdaad al even geleden en er zijn vast wel meer CVE's ontdekt sinds 4.3.18.. beetje raar dat Tweakers.net Fortinet zo groot aanhaalt in de titel terwijl in principe niemand daar nog op zou moeten draaien (gezien het gemak en lage risico van Fortinet updates).

[Reactie gewijzigd door Bigs op 22 juli 2024 14:36]

TommyboyNL @Bigs • 24 oktober 2017 15:48

Het zou je soms verbazen... Ik kwam iets meer dan een jaar terug een 50B tegen die op 3.x.x draaide, dat was een leuke upgrade naar 5.2.x...

ro8in 24 oktober 2017 15:12

Nog nooit van gehoord maar even een kijkje op hun website genomen, maar word nooit echt wijzer van dit soort enteprise bla bla.

Even een quote van hun site
"FortiGates are the core of the Fortinet Security Fabric, defending against known and unknown attacks to provide network security across the entire attack surface."

Kan iemand mij uitleggen wat hun nou concreet bieden en wat daar nou het voordeel van is tegenover bijvoorbeeld al je nodes gewoon goed configureren en beveiligen met een software matige firewall?

Is dit nou allemaal mannen in pakken geblabla waarmee straks weer allemaal netwerk beheerders met tegenzin onnodige meuk lopen te instaleren, omdat hun managers en directeuren zich hebben laten overhalen of bieden dit soort bedrijven nou ook nog echt wat?

Sorki @ro8in • 24 oktober 2017 15:58

Fortinet is best wel een grote speler hoor, wat minder bekend bij het grote publiek.

"software firewall" vs "dedicated hardware"

Deze appliances hebben naast de standaard intel cpu's ook nog wat leuke hardware aanboord om het werk op te offloaden. Content Processors voor snelle cryptografie en content inspection en network processors die je een veel betere performance en lagere latency gaan geven. Voor je 12 man office ga je dat niet merken, maar met duizenden gebruikers en miljoenen concurrent connections is dit gewoon een must.

Verder valt Fortinet Security Fabric wat mij betreft inderdaad onder de noemer "bullshit".
Dit is hun recenste stap om hun ecosysteem wat te promoten (aka, koop onze FortiSandbox, FortiMail, FortiWeb, FortiWhatever ...)

pipo de C @Sorki • 24 oktober 2017 21:29

Dan heb je het punt gemist van de Security Fabric. Het is namelijk een visie op security dat zich uit in verschillende oplossingen, niet zozeer producten. Een van de eigenschappen van de Fabric is dat deze open is en dus samenwerkt met technology partners. Het is zeker geen commercieel marketing praatje om maar meer producten te verkopen maar het is daadwerkelijke integratie tussen verschillende componenten.

SwerveShot @Sorki • 25 oktober 2017 01:47

Vraag me af hoe lang de 'leuke hardware' die je noemt nog nodig is voor de acceleratie van de features die je noemt. Sinds 2008 hebben de meeste Intel CPUs AES instructies waardoor ssl/tls offloading mogelijk is en er weer een reden minder is om specifieke appliances te hebben. Ook Fortinet doet zelf mee aan deze beweging met hun FortiVM en Fortigate-VMX producten.

itlee @Sorki • 25 oktober 2017 08:52

Ik doe al 10 jr Fortinet installeren/beheren en verkoop aan klanten, en heb de eerste software releases meegemaakt en ook de groei gezien.
Er zijn een paar zeer goed producten dat zijn;
De Fortigate (top firewall)
De FortiAP (wifi van fortinet)
De FortiMail (antispam filtering)
De Fortitoken (zowel als app/als fysiek apparaatje)
De Fortianalyzer (reporting)
en de rest van hun producten zijn inderdaad allemaal snel overbodig, ik kom t ook niet ergens tegen bij kleine of grote klanten. Gezien hun inmiddels hoogste status bij Gardner magic kwadrant zijn ze marktleider op t gebied van UTM (universal threat management).

T is en goedkoper als cisco of soort gelijke, en met een beetje gezond verstand kom je als it beheerder al een heel eind om zo'n unit te installeren. En wat jij kan bedenken op security gebied/routering, wifi, filtering, loadbalancing kan standaard out of the box....geen abonnementjes, geen dure bedragen of beperkingen, gewoon unit kopen en aan de gang ermee...

Outerspace Moderator General Chat + Wonen & Mobiliteit @ro8in • 24 oktober 2017 15:18

FortiGate is een fysiek product (hardwarematig nextgen firewall), dus dat verschilt al met een softwarematige firewall. Zie hier wat het allemaal inhoudt, zonder reclame of slogans

inimoek_XP @ro8in • 24 oktober 2017 15:20

Het grote verschil tussen normale edge firewalling en UTM is dat er ook inspectie plaats vind. Ik heb meerdere Fortigates draaien waarmee ik al een hoop rottigheid uit mijn inkomende, maar ook uitgaande verkeer kan filteren.

Met de Fabric core doelen ze op hun nieuwe functionaliteit waarmee je de fortigates met elkaar kan laten babbelen als 1 edge firewall iets detecteert de andere firewall ook op scherp gaat.

Natuurlijk is dit een mooie vorm van vendor locking, maar op dit niveau vind ik dat helemaal niet erg voor mijn collega beheerders.

pipo de C @inimoek_XP • 24 oktober 2017 21:34

Niet helemaal waar. Alle FortiGates krijgen de updates van FortiGuard labs dus meerdere fortigates in het netwerken krijgen sowieso de zelfde updates. Wel is er in 5.6 weer verdere integratie tussen fortigates te zien in de vorm van log deduplicatie en verbeterde zichtbaarheid door de fabric implementatie heen als je meerdere componenten/firewalls hebt draaien.

inimoek_XP @pipo de C • 25 oktober 2017 00:48

Daar moet je volgens mij een fortianalyzer voor hebben om te centraliseren.. Althans dat is hoe ik het doe. 1 Upstream unit en de rest volgt.

blinchik @ro8in • 24 oktober 2017 15:44

Misschien is de Apache niet *jouw* apache maar van een klant. En ja, bij een 0-day lek is bij Fortigate vaak sneller opgevangen dan de automatische patch die via de distributie binnenkomt.
Code heb je misschien ook niet zelf geschreven, en er kunnen ook in meer of mindere mate bv. generieke sql injection attacks opgevangen worden.
Ook de load op Apache wordt minder, vermits de rommel er wordt uitgefilterd. Fysieke Fortigates hebben trouwens speciale processoren voor specifieke zaken.
Bovendien kan je IPS (dus inspectie en filtering) ook in de omgekeerde richting gebruiken, op bv. je netwerk of je wifi netwerk om de gebruikers te beschermen.

Kortom, in een professionele omgeving kan je gewoon onmogelijk zonder firewall met IPS. Heel fijn product, die Fortigate. In de open source wereld kan je bv. eens naar mod_security van Apache kijken.

[Reactie gewijzigd door blinchik op 22 juli 2024 14:36]

blinchik @ro8in • 24 oktober 2017 15:49

En mocht je geinteresseerd zijn, kan je de laatste versie online ook eens bekijken en er eens wat mee spelen:

https://fortigate.fortidemo.com/login

of via YouTube: https://www.youtube.com/watch?v=pzF7NUyWsdw

ro8in @blinchik • 25 oktober 2017 09:17

Thank you ik ga ze even bekijken.

inimoek_XP @ro8in • 24 oktober 2017 20:32

Denk bijv ook aan crypto lockers en andere spullen die via mail en of http/s kunnen komen. Als ik overdag kijk wat er ( in line ) allemaal word weg gefilterd word ik daar wel erg blij van. Dit zorgt weer voor wat minder zware realtime scans waardoor werkstations ook blijven performen.

Ik denk dat je er eens mee zou moeten werken om de voordelen er van in te zien.

ro8in @inimoek_XP • 25 oktober 2017 09:17

Ik denk het ook inderdaad. Ik schrik altijd een beetje af van dat corporate enteprise geblabla op de sites van dit soort bedrijven. Je kan er nooit uit opmaken wat ze nou precies concreet bieden. Volgens mij als ze dat wel zouden doen zouden ze veel meer MKB klanten erbij pakken ook.

Yariva Moderator internet & netwerken 24 oktober 2017 14:59

4.3.. In de tijd dat 5.6.2 alweer uit is. Zeer ernstig wanneer je deze versie nog heb draaien. Er zijn inmiddels wel meerdere bugs gevonden voor deze oude variant, uitfaseren die handel!

psycho202 @Yariva • 24 oktober 2017 15:42

Tjah, dan hopen dat je Fortigate een recenter model is. Voor bv de 60C zijn er geen nieuwere firmwares dan v5.2 beschikbaar.
Voor de A en B reeksen zal dit ongetwijfeld wel wat dichter aanleunen bij de getroffen firmware versies

Yariva Moderator internet & netwerken @psycho202 • 24 oktober 2017 15:45

Zeker waar. Ik heb nog een paar klanten die nu op 5.0.11 draaien. Ze willen niet upgraden ivm de kosten. Vinden wij prima, maar na 4x herhalen en onderbouwen waarom ze niet meer veilig zijn op versie 5.x.x haal ik mijn verantwoordelijkheid er vanaf.

bigbadbull @Yariva • 24 oktober 2017 16:56

wel een document door hun laten ondertekenen anders ben jij alsnog de sigaar als de bal aan het rollen gaat.

itlee @Yariva • 25 oktober 2017 08:43

kosten? firmwares zijn gratis....en t updaten is nog geen 10 min.....

Yariva Moderator internet & netwerken @itlee • 25 oktober 2017 09:41

Iemand zal toch de uren moeten betalen die de engineer hierin steekt. En de klant merkt niets van een firewall upgrade, enkel dat het geld kost. Die bak blijft precies het zelfde doen.

itlee @Yariva • 25 oktober 2017 11:02

Snap ik, voor niks gaat de zon op...maar jullie sales mannen hebben geen onderhoud erbij verkocht zodat jullie engineers de boel kunnen updaten. De klant heeft geen onderhoud afgenomen en wil alles op nacalc.

Maar, waar de schoen wringt, jullie moeten er voor zorgen dat de troep veilig blijft en is het je plicht om die handel te updaten, gratis en wel...(en t kost heel weinig tijd per fortigate. max 10 min per unit).

Microsoft brengt toch ook een SMB fix voor windows XP uit omdat ze zorgplicht hebben? of zie ik het verkeerd?

TommyboyNL @psycho202 • 24 oktober 2017 15:53

De A en B reeksen zijn echter ook zodanig oud, dat ik het Fortinet niet kwalijk neem dat ze die niet upgraden naar nieuwere releasetreinen.

[Reactie gewijzigd door TommyboyNL op 22 juli 2024 14:36]

psycho202 @TommyboyNL • 24 oktober 2017 16:35

Dat is waar, maar er zijn genoeg bedrijven die deze nog steeds gebruiken voor kleine kantoren en bijhuizen, of als reserve die nog aangekoppeld is.

TommyboyNL @Yariva • 24 oktober 2017 15:45

Hoewel ik het érg dapper vind om de 5.6 trein al te draaien in productie, zijn er sinds de 4.3 trein voldoende updates geweest.

Yariva Moderator internet & netwerken @TommyboyNL • 24 oktober 2017 15:49

Wij draaien 5.6.2 alleen nog in test

5.4.5 vindt ik tot op heden stabiel genoeg voor productie.

TommyboyNL @Yariva • 24 oktober 2017 15:51

Hebben jullie ook ervaring met 5.4.5 op hardware uit de E serie? Wij hebben op onder andere 100E en 101E firewalls een hoop rare bugs gevonden in combinatie met 5.4.5. Op de D serie lijkt het een stuk beter te zijn gesteld met 5.4.5.

xSNAKEX @TommyboyNL • 24 oktober 2017 16:00

Om eerlijk te zijn zou ik je aanraden om 5.4.5 over te slaan. Ook wij zijn hier wat vervelende bugs op tegen gekomen en vermijden hem daarom indien mogelijk (ook op D serie apparaten).

TommyboyNL @xSNAKEX • 24 oktober 2017 16:05

Helaas komt je advies te laat

We hebben wel een hoop upgrades van 5.2.10/11 naar 5.4.x uitgesteld mede door de 5.4.5 issues. Gelukkig is enkele dagen terug 5.4.6 uitgekomen zodat we weer verder kunnen met het uitrollen van upgrades.

xSNAKEX @TommyboyNL • 24 oktober 2017 16:09

Ah die had ik nog niet gezien en was ik wel op aan het wachten. Tijd om die te gaan testen dan. Tnx voor de heads up.

Arne-Wynand @TommyboyNL • 24 oktober 2017 16:01

Als je Fortigate dozen gebruikt is dat een beetje een aparte opmerking. Er zijn zat firmware releases geweest (de ene al stabieler dan de andere) en de 4.3 branch is al sinds maart 2014 end of support.

Kwetsbaarheden die nog applicable zijn op 25000 devices zijn leuk om te vermelden, wie weet heeft iemand er nog iets aan, maar iemand die nu nog niet op een 5.x branch zit gaat het na het lezen van dit nieuwsbericht ook niet om deze reden doen. Dit geeft een beetje een erg negatief daglicht waar het (in this case) over Fortinet niet moet zijn.
De laatste releases in de 5.2 brache zijn stabiel zat en ditto voor 5.4 in de meeste usecases, maar dat weten de meeste Fortinet-guys hier ook wel.

TommyboyNL @Arne-Wynand • 24 oktober 2017 16:03

Dat zeg ik toch ook, maar dan met minder woorden? "[er zijn] sinds de 4.3 trein voldoende updates geweest.".

densoN 24 oktober 2017 14:56

Help me even, wat is licht ironisch aan de publicatie via de webpagina?

Auteur

duqu @densoN • 24 oktober 2017 15:01

De laatste tijd komen er steeds meer 'branded' kwetsbaarheden met een eigen naam, logo en website. Dit is een reactie daarop, maar ze doen er natuurlijk wel aan mee.

densoN @duqu • 24 oktober 2017 15:03

Ah vandaar, kwartje gevallen, bedankt

johnkeates @densoN • 24 oktober 2017 14:59

Om dat ze DUH zeggen. Natuurlijk moet je keys en seeds niet hardcoded gebruiken. Of het was legacy code en onderhoud is slecht geregeld, of het zijn gewoon een stelletje kneuzen die hun targets verplicht moeten halen en verder niet echt nadenken.

Thirler @densoN • 24 oktober 2017 15:01

De Q&A bijvoorbeeld:

Can I get a high resolution copy of the logo?
Please visit Emojipedia and set your font size appropriately.
Is this a backdoor?
We prefer to think of it as a front door secured by a hotel minibar key.
Where can I buy DUHK swag?
This random person we don't know is selling duck emoji tshirts.
Do you have a theme song?
Yes. Also a techno remix.

Maar ook de naam DUHK (zeg duck)

Hiermee refereren ze vast aan het feit dat sommige exploints tegenwoordig groot uitpakken, met een site, en aan PR lijken te doen.

_{Edit: nog meer grappige quotes van de site gehaald}

[Reactie gewijzigd door Thirler op 22 juli 2024 14:36]

ikt @densoN • 24 oktober 2017 15:07

De naamgeving van de kwetsbaarheid als reactie, enkele stukjes over overheden die encryptie zwakker willen maken en het commentaar op het logo:

Are you a government with a desire for large scale decryption capabilities?
Weakening, sabotaging, backdooring, or frontdooring encryption standards may harm both the overall security of your country as well as your reputation!

Is this a backdoor?
We prefer to think of it as a front door secured by a hotel minibar key. More seriously, there is no way of knowing whether this type of implementation flaw or the standards that failed to account for it is intentional or has been exploited.

Can I get a high resolution copy of the logo?
Please visit Emojipedia and set your font size appropriately.

itlee 24 oktober 2017 15:35

Zonder alle respect, wat voor flut firewall beheerder ben je als je sinds 2014 geen updates meer hebt gedraaid.

Je ICT manager moet je meteen op staande voet ontslaan. Daarnaast is het zo dan de kleinere modellen allang end of life zijn waar dit op van toepassing is.

4.3.... dat is hetzelfde dat je nu nog Windows XP draait....

AJediIAm @itlee • 24 oktober 2017 15:43

You'd be surprised...

Edit: moet je niet de ICT manager eerst ontslaan?

[Reactie gewijzigd door AJediIAm op 22 juli 2024 14:36]

mvd64 24 oktober 2017 15:37

'Heel vroegah' gebruikte ik op de MSX nog wel RND(-TIME). Dat lijkt me al beter dan een vaste seed key, toch?

Dorank @mvd64 • 24 oktober 2017 16:01

RND(TIME) is niet random. Iets minder voorspelbaar dan een fixed seed maar het scheelt niet veel.

koelpasta @Dorank • 24 oktober 2017 17:31

Tja, uiteindelijk is geen enkele RNG op een computer echt random.
Je hebt alijtijd een bron van entropie nodig. En een fixed seed geeft je dat helemaal niet terwijl een supersnelle interne klok dat toch wel met enige mate weet te bieden.
Om de entropie uit die timer te kunnen ontrafelen zul je een hoop extra informatie te weten moeten komen die niet persee beschikbaar is.
Zo is het op de MSX zo dat je nooit te weten kan komen op welk tijdstip het proramma precies gerund wordt. Het systeem houdt het simpelweg niet bij.

mvd64 @Dorank • 24 oktober 2017 22:09

Maar dit waren basic progsels van 30 jaar geleden...

Eomer 24 oktober 2017 15:08

Bijbehorende blogpost van Matthew Green: https://blog.cryptography.../attack-of-the-week-duhk/

SwerveShot 25 oktober 2017 01:28

Zoveel Forti liefhebbers aan het aantal reacties te zien. En niemand die iets te zeuren heeft over de crappy HTML5 interface. Ik moest het gewoon even kwijt.

wurtel @SwerveShot • 25 oktober 2017 15:58

Als je Barracuda gewend bent dan is Forti web interface een geschenk uit de hemel.

Op dit item kan niet meer gereageerd worden.

'Kwetsbare implementatie van rng maakt decryptie FortiOS-vpn-verkeer mogelijk'

Lees meer

Krack, Venom, Ghost en Shellshock

IT-banen

Reacties (50)

Sorteer op:

Weergave: