समस्या को ठीक करने में फोर्टिनेट को 18 महीने लग गए। अपडेट अब बाहर हैं.
![फोर्टीनेट](/f/beeb4cf4fd6c026ceedd8e9695e68a85.jpg)
और भी देखें
- ध्यान देने योग्य 10 खतरनाक ऐप भेद्यताएं (मुफ़्त पीडीएफ)
साइबर-सुरक्षा उत्पादों के विक्रेता फोर्टिनेट को तीन उत्पादों से हार्डकोडेड एन्क्रिप्शन कुंजी को हटाने में 10 से 18 महीने का समय लगा, जो ग्राहक डेटा को निष्क्रिय अवरोधन के संपर्क में ला रहे थे।
हार्डकोडेड एन्क्रिप्शन कुंजी FortiGate फ़ायरवॉल के लिए FortiOS और Mac और Windows के लिए FortiClient एंडपॉइंट सुरक्षा सॉफ़्टवेयर (एंटीवायरस) के अंदर पाई गई थी।
इन तीन उत्पादों ने विभिन्न फोर्टीगेट क्लाउड सेवाओं के साथ संचार करने के लिए एक कमजोर एन्क्रिप्शन सिफर (एक्सओआर) और हार्डकोडेड क्रिप्टोग्राफ़िक कुंजियों का उपयोग किया।
हार्डकोडेड कुंजियों का उपयोग फोर्टीगार्ड वेब फ़िल्टर सुविधा, फोर्टीगार्ड एंटीस्पैम सुविधा और फोर्टीगार्ड एंटीवायरस सुविधा के लिए उपयोगकर्ता ट्रैफ़िक को एन्क्रिप्ट करने के लिए किया गया था।
किसी उपयोगकर्ता या कंपनी के ट्रैफ़िक का निरीक्षण करने की स्थिति में एक ख़तरा अभिनेता हार्डकोडेड एन्क्रिप्शन कुंजी लेने और इस कमजोर एन्क्रिप्टेड डेटा स्ट्रीम को डिक्रिप्ट करने में सक्षम होगा। कंपनी किस उत्पाद का उपयोग कर रही है, इसके आधार पर, हमलावर ने सीखा होगा:
- उपयोगकर्ताओं की वेब सर्फिंग गतिविधि के लिए पूर्ण HTTP या HTTPS लिंक (वेब फ़िल्टर सुविधा के परीक्षण के लिए भेजे गए)
- ईमेल डेटा एंटीस्पैम सुविधा के परीक्षण के लिए भेजा गया)
- एंटीवायरस डेटा ((फोर्टिनेट क्लाउड) एंटीवायरस सुविधा पर परीक्षण के लिए भेजा गया)
लेकिन उपयोगकर्ता के ट्रैफ़िक को सूँघने के अलावा, हमलावर मैलवेयर का पता लगाने या खराब यूआरएल के लिए अलर्ट को निष्क्रिय करने, प्रतिक्रियाओं को बदलने और फिर से एन्क्रिप्ट करने के लिए उसी हार्डकोडेड एन्क्रिप्शन कुंजी का भी उपयोग कर सकता था।
इसे ठीक करने में महीनों लग गए
इन मुद्दों की खोज मई 2018 में एसईसी कंसल्ट के सुरक्षा शोधकर्ता स्टीफन विहबॉक ने की थी। फोर्टिनेट द्वारा इन मुद्दों की रिपोर्ट करने और उन्हें ठीक करने की प्रक्रिया असामान्य रूप से लंबी और धीमी रही है।
उदाहरण के लिए, जबकि अधिकांश कंपनियां उसी दिन बग रिपोर्ट स्वीकार करती हैं, फोर्टिनेट कर्मचारी को मामला मिलने में तीन सप्ताह लग गए।
बग्स को ठीक करने में और भी अधिक समय लगा। प्रारंभिक रिपोर्ट के दस महीने बाद, Fortinet ने मार्च 2019 में ही FortiOS के हाल के संस्करणों से एन्क्रिप्शन कुंजी हटा दी।
इसके बाद पुराने संस्करणों से एन्क्रिप्शन कुंजियाँ हटाने में आठ महीने और लग गए, आखिरी पैच इस महीने की शुरुआत में जारी किया गया था।
प्रभावित फोर्टिनेट उत्पाद नीचे दिए गए हैं:
- FortiOS 6.0.6 और उससे नीचे
- FortiClientWindows 6.0.6 और नीचे
- FortiClientMac 6.2.1 और नीचे
सिस्टम प्रशासकों को सलाह दी जाती है कि वे हार्डकोडेड एन्क्रिप्शन कुंजियों को हटाने के लिए निम्नलिखित पैच लागू करें:
- फोर्टियोस 6.0.7 या 6.2.0
- फ़ोर्टिक्लाइंटविंडोज़ 6.2.0
- FortiClientMac 6.2.2
ZDNet द्वारा संपर्क किए जाने पर, Fortinet के प्रवक्ता ने बताया कि कंपनी को रिपोर्ट किए गए मुद्दों को ठीक करने में इतना समय क्यों लगा:
"फ़ोर्टिनेट में हमारे ग्राहकों की सुरक्षा सर्वोच्च प्राथमिकता है। एक बार जब समस्या फोर्टिनेट को बताई गई, तो हमने तुरंत प्रभावित उत्पादों के लिए सॉफ़्टवेयर अपडेट विकसित करने के लिए अपनी आंतरिक अनुसंधान टीम के साथ काम करना शुरू कर दिया। उस प्रक्रिया के हिस्से के रूप में, टीम ने हमारे ग्राहकों के लिए फोर्टीगार्ड सेवाओं के कनेक्शन की सुरक्षा करते हुए एक समाधान तैयार करने में समय लिया। ग्राहकों की सुरक्षा के लिए हमारी जिम्मेदार प्रकटीकरण नीतियों को ध्यान में रखते हुए, फोर्टिनेट तब तक कोई सलाह वितरित नहीं करता है जब तक कि प्रभावित उत्पादों के लिए सभी समाधान सही जगह पर न आ जाएं, उनका परीक्षण न कर लिया जाए।"
विहबॉक का राइट-अप और डेमो कोड उपलब्ध है एसईसी परामर्श वेबसाइट पर. फोर्टिनेट की सुरक्षा सलाह उपलब्ध है यहाँ.
लेख 26 नवंबर को फोर्टिनेट की टिप्पणी के साथ अद्यतन किया गया।
क्लाउड सेवाएँ: 24 कम-ज्ञात वेब सेवाएँ जिन्हें आपके व्यवसाय को आज़माने की आवश्यकता है
सुरक्षा
- अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
- अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
- सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
- कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें