Fortinet esconde ataques brute-force bem sucedidos

Investigadores descobriram uma falha no servidor VPN da Fortinet que permite que os atacantes escondam ataques brute-force bem-sucedidos.

Os ataques brute-force consistem em fazer inúmeras tentativas para entrar num sistema, ao estilo de alguém ir tentando um código PIN 0000, 0001, 0002, e assim sucessivamente até acertar no código correcto. Neste caso, embora as tentativas de login falhadas sejam registadas nos logs e denunciem esses ataques, uma falha pode fazer com que os logins bem-sucedidos não sejam registados, criando uma falsa sensação de segurança para os administradores.

O problema reside no processo de login em duas fases do Fortinet VPN: autenticação e autorização. Apenas os logins que completam ambas as etapas são registados, mas investigadores da Pentera descobriram que, ao interromper o processo após a autenticação, é possível validar credenciais sem gerar logs. Assim, os atacantes conseguem verificar credenciais válidas, que ficam escondidas, deixando apenas tentativas falhadas nos registos.

A Pentera demonstrou esta falha usando ferramentas como o Burp, que revelou que, na etapa de autenticação, o servidor indica se as credenciais são válidas, inválidas ou bloqueadas. Ao parar o processo antes da autorização, os atacantes evitam a detecção, deixando as equipas de resposta sem saber se houve um acesso bem-sucedido. Esta falha não só oculta o sucesso de ataques brute-force como permite a exploração posterior das credenciais comprometidas.

A Pentera comunicou este problema à Fortinet, que seria de fácil resolução, mas a empresa diz que não a considera uma vulnerabilidade. Entretanto, os investigadores publicaram um script que explora esta falha, pelo que as empresas que usem este serviço da VPN deverão ter atenção redobrada sobre tentativas de ataque brute-force.