Los investigadores de Pentera descubrieron que la VPN de la empresa Fortinet no consigue detectar los ataques de fuerza bruta exitosos, exponiendo una masiva vulnerabilidad.
Una falla de diseño en el mecanismo de registro del servidor VPN de Fortinet puede ser aprovechada por los atacantes para ocultar la verificación exitosa de las credenciales durante un ataque de fuerza bruta sin avisar a los trabajadores de seguridad de los inicios de sesión comprometidos.
Aunque el ataque de fuerza bruta todavía es visible, una nueva técnica permite registrar solo intentos fallidos y no exitosos, generando una falsa sensación de seguridad.
El servidor VPN FortiClient almacena la actividad de inicio de sesión mediante un proceso de dos pasos que consiste en una etapa de autenticación y autorización.
Investigadores de Pentera, una compañía que proporciona soluciones de validación de seguridad automatizadas, descubrieron que un inicio de sesión exitoso se registra solo si el proceso pasa los pasos de autenticación y autorización, de lo contrario, FortiClient VPN registrará una autenticación fallida.
«Los fallidos se registran en la fase de autenticación, pero los exitosos se registran en la fase de autorización, así que sí, un inicio de sesión completo con un script o un cliente VPN crearía un registro», mencionó un investigador de seguridad de Pentera al medio de comunicación sobre informática, BleepingComputer.
El informe describe cómo sus investigadores idearon un método para detener el proceso de inicio de sesión completo después de la etapa de autenticación, lo que les permite validar las credenciales de VPN sin registrar el éxito.
Los investigadores utilizaron la herramienta de pruebas de seguridad de aplicaciones Burp para registrar las interacciones entre el cliente y el servidor VPN.
En términos más simples, la autenticación solo confirma que las credenciales son válidas y la autorización establece una sesión VPN.
Sin embargo, si el proceso se detiene después de la etapa de autenticación, el servidor VPN solo registra los intentos fallidos y no los exitosos, ya que no continuó con el siguiente paso de autorización.
“La incapacidad de registrar intentos de autenticación exitosos en la fase de autenticación presenta un riesgo de seguridad significativo. Los atacantes podrían explotar esta vulnerabilidad para realizar ataques de fuerza bruta sin detectar sus intentos exitosos”, menciona Pentera en el informe.
El problema generado de esta manera es que un equipo de respuesta a incidentes puede determinar si un intento de fuerza bruta en tal ataque fue exitoso y solo verá registros de procesos fallidos.
Los intentos fallidos de autenticación aún avisarán a un administrador de Fortinet de que su dispositivo está bajo un ataque de fuerza bruta y les permitirá bloquear potencialmente los intentos.
No obstante, no sabrán que el atacante pudo verificar con éxito las credenciales. Estas credenciales pueden venderse a otros actores de amenazas o usarse en un momento posterior para violar la red, cuando los administradores ya no están alertas a la actividad maliciosa.
Esta verificación complica el ataque significativamente, pero un atacante con buenos recursos aún podría usar el método de Pentera para violar la red de una organización.
Pentera dice que compartieron la investigación con Fortinet y la compañía respondió diciendo que no consideraba el problema como una vulnerabilidad. No está claro si Fortinet abordará el problema, especialmente porque no es una solución complicada.
Este inconveniente expone una nueva falla de seguridad, luego de que ciberdelincuentes de origen chino aprovechen otra vulnerabilidad crítica en la VPN de Fortinet.