कुछ फोर्टिनेट उत्पाद हार्डकोडेड एन्क्रिप्शन कुंजियों के साथ भेजे जाते हैं

साइबर-सुरक्षा उत्पादों के विक्रेता फोर्टिनेट को तीन उत्पादों से हार्डकोडेड एन्क्रिप्शन कुंजी को हटाने में 10 से 18 महीने का समय लगा, जो ग्राहक डेटा को निष्क्रिय अवरोधन के संपर्क में ला रहे थे।

हार्डकोडेड एन्क्रिप्शन कुंजी FortiGate फ़ायरवॉल के लिए FortiOS और Mac और Windows के लिए FortiClient एंडपॉइंट सुरक्षा सॉफ़्टवेयर (एंटीवायरस) के अंदर पाई गई थी।

इन तीन उत्पादों ने विभिन्न फोर्टीगेट क्लाउड सेवाओं के साथ संचार करने के लिए एक कमजोर एन्क्रिप्शन सिफर (एक्सओआर) और हार्डकोडेड क्रिप्टोग्राफ़िक कुंजियों का उपयोग किया।

हार्डकोडेड कुंजियों का उपयोग फोर्टीगार्ड वेब फ़िल्टर सुविधा, फोर्टीगार्ड एंटीस्पैम सुविधा और फोर्टीगार्ड एंटीवायरस सुविधा के लिए उपयोगकर्ता ट्रैफ़िक को एन्क्रिप्ट करने के लिए किया गया था।

किसी उपयोगकर्ता या कंपनी के ट्रैफ़िक का निरीक्षण करने की स्थिति में एक ख़तरा अभिनेता हार्डकोडेड एन्क्रिप्शन कुंजी लेने और इस कमजोर एन्क्रिप्टेड डेटा स्ट्रीम को डिक्रिप्ट करने में सक्षम होगा। कंपनी किस उत्पाद का उपयोग कर रही है, इसके आधार पर, हमलावर ने सीखा होगा:

- उपयोगकर्ताओं की वेब सर्फिंग गतिविधि के लिए पूर्ण HTTP या HTTPS लिंक (वेब ​​फ़िल्टर सुविधा के परीक्षण के लिए भेजे गए)
- ईमेल डेटा एंटीस्पैम सुविधा के परीक्षण के लिए भेजा गया)
- एंटीवायरस डेटा ((फोर्टिनेट क्लाउड) एंटीवायरस सुविधा पर परीक्षण के लिए भेजा गया)

लेकिन उपयोगकर्ता के ट्रैफ़िक को सूँघने के अलावा, हमलावर मैलवेयर का पता लगाने या खराब यूआरएल के लिए अलर्ट को निष्क्रिय करने, प्रतिक्रियाओं को बदलने और फिर से एन्क्रिप्ट करने के लिए उसी हार्डकोडेड एन्क्रिप्शन कुंजी का भी उपयोग कर सकता था।

इसे ठीक करने में महीनों लग गए

इन मुद्दों की खोज मई 2018 में एसईसी कंसल्ट के सुरक्षा शोधकर्ता स्टीफन विहबॉक ने की थी। फोर्टिनेट द्वारा इन मुद्दों की रिपोर्ट करने और उन्हें ठीक करने की प्रक्रिया असामान्य रूप से लंबी और धीमी रही है।

उदाहरण के लिए, जबकि अधिकांश कंपनियां उसी दिन बग रिपोर्ट स्वीकार करती हैं, फोर्टिनेट कर्मचारी को मामला मिलने में तीन सप्ताह लग गए।

बग्स को ठीक करने में और भी अधिक समय लगा। प्रारंभिक रिपोर्ट के दस महीने बाद, Fortinet ने मार्च 2019 में ही FortiOS के हाल के संस्करणों से एन्क्रिप्शन कुंजी हटा दी।

इसके बाद पुराने संस्करणों से एन्क्रिप्शन कुंजियाँ हटाने में आठ महीने और लग गए, आखिरी पैच इस महीने की शुरुआत में जारी किया गया था।

प्रभावित फोर्टिनेट उत्पाद नीचे दिए गए हैं:

• FortiOS 6.0.6 और उससे नीचे
• FortiClientWindows 6.0.6 और नीचे
• FortiClientMac 6.2.1 और नीचे

सिस्टम प्रशासकों को सलाह दी जाती है कि वे हार्डकोडेड एन्क्रिप्शन कुंजियों को हटाने के लिए निम्नलिखित पैच लागू करें:

• फोर्टियोस 6.0.7 या 6.2.0
• फ़ोर्टिक्लाइंटविंडोज़ 6.2.0
• FortiClientMac 6.2.2

ZDNet द्वारा संपर्क किए जाने पर, Fortinet के प्रवक्ता ने बताया कि कंपनी को रिपोर्ट किए गए मुद्दों को ठीक करने में इतना समय क्यों लगा:

"फ़ोर्टिनेट में हमारे ग्राहकों की सुरक्षा सर्वोच्च प्राथमिकता है। एक बार जब समस्या फोर्टिनेट को बताई गई, तो हमने तुरंत प्रभावित उत्पादों के लिए सॉफ़्टवेयर अपडेट विकसित करने के लिए अपनी आंतरिक अनुसंधान टीम के साथ काम करना शुरू कर दिया। उस प्रक्रिया के हिस्से के रूप में, टीम ने हमारे ग्राहकों के लिए फोर्टीगार्ड सेवाओं के कनेक्शन की सुरक्षा करते हुए एक समाधान तैयार करने में समय लिया। ग्राहकों की सुरक्षा के लिए हमारी जिम्मेदार प्रकटीकरण नीतियों को ध्यान में रखते हुए, फोर्टिनेट तब तक कोई सलाह वितरित नहीं करता है जब तक कि प्रभावित उत्पादों के लिए सभी समाधान सही जगह पर न आ जाएं, उनका परीक्षण न कर लिया जाए।"

विहबॉक का राइट-अप और डेमो कोड उपलब्ध है एसईसी परामर्श वेबसाइट पर. फोर्टिनेट की सुरक्षा सलाह उपलब्ध है यहाँ.

लेख 26 नवंबर को फोर्टिनेट की टिप्पणी के साथ अद्यतन किया गया।