首页 > 传媒 > 关键词 > 黑客攻击最新资讯 > 正文

超 20 万个企业面临黑客攻击!天威诚信SSL证书守护网络安全

2020-10-10 09:51 · 稿源:站长之家用户投稿

为了应对冠状病毒在世界各地的传播,许多组织部署了VPN解决方案,包括Fortigate VPN,以允许雇主在家工作。VPN解决方案的配置对于保证组织的安全和避免危险的意外非常重要。

根据网络安全平台提供商SAM Seamless Network统计,超过20万个企业已经部署了具有默认设置的Fortigate VPN解决方案。这种选择允许攻击者提供有效的SSL证书,并对员工的连接执行中间人(MitM)攻击。

“令人惊讶(或者不是?),我们很快发现,在默认配置下,sslvpn没有得到应有的保护,很容易受到MITM攻击。Fortigate SSL-VPN客户端只验证CA是由Fortigate(或其他受信任的CA)颁发的,因此攻击者可以轻松地将颁发给不同Fortigate路由器的证书呈现出来,而无需升起任何标志,并实施中间人攻击。我们在几分钟内搜索并找到了20多万家易受攻击的企业。”

专家指出,Fortigate SSL-VPN客户端只验证CA是由Fortigate或另一个可信CA颁发的,这使得攻击者可以出示颁发给不同Fortigate路由器的证书来实施中间人攻击。

主要问题与自签名SSL证书有关

Fortigate路由器附带一个由Fortinet签名的默认SSL证书,这是一个自签名证书,其中包含路由器的序列号作为证书的服务器名称。

什么是自签名SSL证书?

自签名SSL证书,一般是指由不受信任的任意机构或个人,使用工具自己签发的SSL证书。天威诚信提醒您这些不受信任的机构和个人因为不受任何第三方的监督和审核,所以可以随意签发自签名SSL证书,但其签发的SSL证书也不被浏览器和操作系统所信任,所以经常被不法分子用于伪造证书进行中间人攻击。

自签名SSL证书容易被假冒和伪造

因为自签名SSL证书是可以随意签发的,如果你的网站使用的是自签名SSL证书,那不法分子完全可以通过伪造一张相同的自签名证书,用于制作假冒钓鱼网站,这使得网站用户无法分辨出真假网站,上当受骗。

而第三方权威机构在签发SSL证书时,需要对申请企业的真实身份进行验证,不存在随意签发SSL证书的现象,不法分子难以伪造假冒。而部署了受信任的SSL证书的网站,用户在访问网站时浏览器便会识别SSL证书的真实信息和证书状态,天威诚信表示如果网站SSL证书配置的域名与实际的域名不符,或者出现证书已过期等其它情况时,浏览器都会提醒用户“此网站安全证书存在问题”进行警告,令假冒网站无处藏身!

专家强调,Fortinet的客户端根本不验证服务器名称,这意味着任何由Fortinet或任何其他可信CA颁发的证书都将被接受。攻击者可以将流量重新路由到其服务器,显示自己的证书,然后在攻击的视频PoC下解密流量。

不幸的是,Fortinet没有解决该漏洞的计划,它建议用户手动替换默认证书,并确保连接不受MitM攻击。

目前,当用户使用默认证书时,Fortinet会发出警告。

“您使用的是默认的内置证书,它将无法验证服务器的域名(您的用户将看到一个警告)。建议您为您的域购买一个证书并上载以供使用。

天威诚信作为中国唯一一家由DigiCert直接授权且由中国工信部批准的CA认证机构,可购买DigiCert 、Geotrust、GlobalSign、Entrust、vTrus 等品牌的SSL证书,同时拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可为用户提供优质的本地化服务与7*24小时技术支持。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 企业想要吸引“回头客”?天威诚信SSL证书为您助力

    众所周知,对于企业来说,用户的个性化体验是其提高客户满意度的关键,但想要成功做到这一点,吸引更多的“回头客”,就必须访问个人数据。近年来,围绕第三方积累和使用个人数据的隐私问题已成为消费者关注的焦点。据Privitar的一项调查结果显示,虽然消费者依旧担心与公司共享个人数据,但企业仍然有机会发挥领导作用,通过保护客户数据来建立品牌忠诚度。调查显示,43%的消费者不知道他们是否曾与受数据泄露影响的企业合作过。?

  • 天威诚信副总裁刘旭20周年感言:天威诚信二十年产品路

    文/天威诚信副总裁·刘旭 天威诚信已经走过了风风雨雨的二十年,这二十年,也是产品从无到有、从引进到自主研发、从单一到多样化、从技术为主到服务为主的,不断演化、不断发展、不断创新的二十年。 天威诚信成立之前,国内证书服务市场基本上是空白的,天威诚信的创业者们机敏地把握到了这一历史机遇。2000年,天威诚信成立,并与Verisign合作,以其产品Onsite为基础,在国内建立了数字证书运营中心,面向各类互联网应用提供包括?

  • 重磅消息!天威诚信联合阿里云平台助力vTrus 国产证书云上首发

    近日,天威诚信vTrus SSL证书正式上架阿里云平台,双方将进一步深化战略合作,满足阿里云客户对于证书国产化的需求,携手为云上客户提供一站式的安全合规产品采购服务,共同构筑云上数字经济共同体。信息安全产品呈国产化加强趋势随着我国整体信息化水平持续提升,经济和社会对信息化的依赖程度日益提高,一旦数据泄露或者遭到破坏可能会严重危害国家安全、公共利益,而随着身份盗用、交易诈骗、资源滥用、网络钓鱼等安全事件的频?

  • 专注电子认证20年 l 天威诚信用“信任+”赋能互联网应用

    在天威诚信成立 20 周年之际,天威诚信总裁唐志红先生接受电子六所信息服务部记者采访,希望通过本次采访能够让业界深入了解电子认证以及天威诚信对于电子认证产业的贡献。电子六所信息服务部由原《电子技术应用》编辑部和原《信息技术与网络安全》编辑部合并而来,依托两本核心期刊,构建具备现代信息服务特征的学术交流平台,覆盖超过550, 000 的专业用户。作为网络空间安全的重要组成部分,面向各类网络应用的身份认证、行为认

  • 安信证书聚惠双节:SSL证书申请特价,还有礼品卡赠送

    2020 年的中秋节和国庆节是同一天,为了迎接“双节”的到来,国内领先的HTTPS解决方案服务商安信证书推出特价SSL证书申请活动,更有超值礼品卡赠送,小米10、华为P40 等商品等你来拿。今年中秋和国庆节在同一天,8天的长假让大家有足够的时间与家人团聚或者出去旅旅游。然而对网站运营人员来说,这个时候也是网站被攻击最频繁的,网站上的隐私数据极易被窃取。如何保障网站在节假日期间用户能够安全访问,给网站部署SSL证书是非常?

  • 天威诚信受邀参加海纳汇第三届(2020)全国数字经济伙伴联盟大会

    9 月 25 日,海纳汇第三届(2020)全国数字经济伙伴联盟大会·工业互联网赋能高端装备制造论坛—济宁站成功举行。 济宁高新区创新创业服务中心主任石君、济宁市工业和信息化局工业互联网科科长刘经纬、济宁高新区创新创业服务中心副主任穆卫涛、马伟,创新服务处处长贾佑奇、副处长徐妍琳、海纳汇中国软件行业生态联盟秘书长段本德、山东省中小企业管理咨询协会副会长王文平、济宁·中关村信息谷创新中心负责同志、海纳汇中国软件

  • KuCoin遭大规模黑客攻击 价值1.5亿美元加密货币被盗

    新加坡加密货币交易所KuCoin今天披露了一次大规模黑客攻击。该公司在网站上发布的一份声明证实,一名攻击者破坏了其系统,并清空了其热门钱包中的所有资金。

  • 加密货币投资平台Robinhood近2000账户遭黑客攻击

    在最近一次窃取客户资金的黑客攻击中,Robinhood Markets 近 2000 个账户遭到破坏,这一迹象表明,黑客攻击比以往任何时候都更加广泛。

  • 【喜讯】辽宁华大智能科技同时获得ISO管理体系三大证书

    经过一系列严格的管理与评审,辽宁华大智能科技顺利通过ISO三大管理体系官方认证:包括质量管理体系认证ISO 9001:2015;环境管理体系认证ISO 14001:2015;职业健康安全管理体系认证ISO 45001:2018。ISO是国际标准化组织(International Organization for Standardization)的简称。该组织是世界上最大的非政府性标准化专门机构,是国际标准化领域中一个十分重要的组织。ISO体系认证证书的获得,对企业来说具有一系列积极重要意义。

  • 斗鱼为转发攻击虎牙失实文章等行为致歉

    9月21日消息,斗鱼官微今日发布致歉声明,称此前在官方微博账号与官方微信公众号转发了《直播界黑公关事件曝光:虎牙再陷泥潭被指攻击斗鱼》、刊载《向黑公关SAYNO!》等失实文章,并向公众传播“虎牙公司是所谓黑公关”的虚假、误导性信息。上述虚假、误导性内容在网络上公开传播,直接侵害了广州虎牙信息科技有限公司及虎牙直播平台的商业信誉,产生了负面的影响。斗鱼的行为已被法院认定构成不正当竞争。据悉,2018年

  • 百姓装潢:以诚信透明打破家装行业痛点!

    买房安居对于安土重迁的中国百姓来说,从来都是家庭中的大事。姑且不论掏空了“六个钱包”才能买到心仪的房子,家装同样成为摆在群众安居入住前的难题。很多业主虽然欣喜地接受了开发商交付的房子,却没有足够时间、精力全程陪同家装工程,只能以全装、半装的方式委托家装公司开展装修,却经常遇到行业骗局,引起了无数烦恼。百姓装潢,有感于业主的苦恼,致力于以诚信和透明打破行业痛点,为家装行业树立标杆。据百姓装潢公司相关

  • 诚信利剑守护借贷平安 警方以雷霆手段摧毁信用卡反催收“保护伞”

    2020 年对金融公司而言,就一个字:“难”,不仅要积极应对全力打好疫情防控攻坚战,另一方面还要与恶意逃废债、反催收联盟博弈,“战火”难停。今年以来,部分失信人心存侥幸,企图借疫情之机妄图以非法手段达到躲避债务的目的;而反催收联盟也趁机兴风作浪,提供相关“中介”服务,助长了金融界逃废债行为的嚣张气焰。目前,日益猖獗的反催收联盟已引起了警方与监管部门的广泛关注,警方也随即以雷霆之势展开了一系列的围剿行动?

  • Twitter确认宕机,但没有证据表明存在网络攻击或安全漏洞

    据外媒报道,日前,许多Twitter用户突然无法访问该服务平台。虽然老Twitter用户还记得这个社交媒体网站的“failwhale(故障的鲸鱼)”经常出现的时候,但现阶段它通常是稳定的,最近一次重大问题则是因7月份的安全漏洞而出现过。

  • 和平精英ss11赛季什么时候开始 ss11赛季具体上线日期时间

    和平精英目前还是在SS10赛季中,但是不少玩家已经在期待下一个SS11赛季了,很多玩家还不清楚S11赛季什么时候开始,下面就来为大家详细的介绍一下。

  • 赶紧更新!Firefox漏洞允许攻击者在同一WiFi劫持移动浏览器

    Mozilla已经修复了一个漏洞,攻击者可以使用该漏洞在同一个WiFi网络上劫持所有安卓版火狐浏览器,迫使用户访问恶意网站,比如钓鱼网页。

  • Egregor勒索软件背后的攻击者泄露了据称来自于Ubisoft 公司的数据

    ​Egregor勒索软件背后的攻击者攻击了游戏开发团队Crytek,并泄露了大量据称窃取自育碧娱乐软件公司(Ubisoft)文件系统中的数据。

  • 钟表制造商Swatch:上周末IT系统遭遇网络攻击,已关闭部分系统

    ​路透社于9月29日周二报道称,全球最大钟表制造商Swatch集团今天表示,在周末发现IT系统遭遇网络攻击后,该公司关闭了部分技术系统。部分系统的关闭影响了其部分业务,但Swatch没有具体说明哪些业务受到影响。

  • 黑客声称获取育碧尚未发布游戏《看门狗:军团》源代码

    育碧和Crytek(欧洲的电子游戏开发商)这两家当今最大的游戏公司数据遭泄露,原因是一个名为Egregor的勒索软件团伙在窃取了这家两家公司内部网络窃取的数据,并在暗网上公布。

  • 挖墙脚!苹果挖走谷歌iPhone黑客团队一名重要成员

    苹果公司正招聘专门破解iOS的研究人员,并挖走了谷歌Project Zero的一名关键成员。据称,谷歌Project Zero黑客团队发现了苹果iOS和其他关键苹果软件的数十个关键漏洞。

  • 和平精英SS10赛季手册奖励内容汇总 SS10赛季手册全部内容一览

    和平精英在10月13日上线了SS10赛季的赛季手册,很多玩家还不清楚这次的赛季手册的奖励内容是什么,下面就来为大家详细的介绍一下。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签