Fortinet VPN服务器设计缺陷能隐藏攻击者行踪

据BleepingComputer消息 ，设计网络安全厂商Fortinet产品中的缺陷VPN 服务器存在一个设计漏洞 ，其日志记录机制能够隐藏成功实施暴力攻击的藏攻行为记录，无法让防御者察觉到系统可能已被入侵。行踪

FortiClient 终端防御软件的设计VPN 服务器使用两步过程存储登录活动，该过程包括身份验证和授权阶段
。缺陷只有当该过程同时通过身份验证和授权步骤时，藏攻才会记录成功登录；否则会记录验证失败 。免费模板行踪

自动化安全验证解决方案公司 Pentera 的设计研究人员发现，通过一种设计，缺陷在验证阶段后停止整个登录过程 ，藏攻从而在不记录成功登录的行踪情况下验证 VPN 凭证。

研究人员使用 Burp 应用程序安全测试工具来记录客户端和 VPN 服务器之间的设计交互 ，他们注意到 ，缺陷初始 HTTPS 请求的服务器租用藏攻响应会显示有效凭证 、验证失败或在连续多次尝试失败时显示 "发生错误 "的响应。如果该过程在身份验证阶段后停止 ，则 VPN 服务器仅记录失败的尝试，而不记录成功的尝试，因为它没有继续执行下一个授权步骤 。

因此，建站模板防御者无法确定此类攻击中的暴力尝试是否成功，并且只能看到失败进程的日志
。尤其是当攻击者成功验证凭证后，防御者将无法察觉这些恶意活动 。

值得注意的是模板下载，即使威胁行为者确定了正确的登录设置并将其用于攻击，授权过程也只有在 FortiClient VPN 发送两个 API 调用以验证设备的安全合规性和用户的访问级别后才会完成。 此验证使实施攻击变得复杂，但资源充足的攻击者仍然可以使用 Pentera 的研究方法成功入侵目标网络。香港云服务器

Pentera 与 Fortinet 分享了这项研究，但对方不认为该问题是个漏洞。目前尚不清楚 Fortinet 是否会解决这个问题。事后 ，Pentera 发布了一个脚本，能利用此设计缺陷来验证 Fortinet VPN 凭证。

很赞哦!（8592）