據BleepingComputer消息，網絡安全廠商Fortinet產品中的VPN 服務器存在一個設計漏洞，其日志記錄機制能夠隱藏成功實施暴力攻擊的行為記錄，無法讓防御者察覺到系統可能已被入侵。

FortiClient 終端防御軟件的VPN 服務器使用兩步過程存儲登錄活動，該過程包括身份驗證和授權階段。只有當該過程同時通過身份驗證和授權步驟時，才會記錄成功登錄；否則會記錄驗證失敗。

自動化安全驗證解決方案公司 Pentera 的研究人員發現，通過一種設計，在驗證階段后停止整個登錄過程，從而在不記錄成功登錄的情況下驗證 VPN 憑證。

研究人員使用 Burp 應用程序安全測試工具來記錄客戶端和 VPN 服務器之間的交互，他們注意到，初始 HTTPS 請求的響應會顯示有效憑證、驗證失敗或在連續多次嘗試失敗時顯示 "發生錯誤 "的響應。如果該過程在身份驗證階段后停止，則 VPN 服務器僅記錄失敗的嘗試，而不記錄成功的嘗試，因為它沒有繼續執行下一個授權步驟。

因此，防御者無法確定此類攻擊中的暴力嘗試是否成功，并且只能看到失敗進程的日志。尤其是當攻擊者成功驗證憑證后，防御者將無法察覺這些惡意活動。

值得注意的是，即使威脅行為者確定了正確的登錄設置并將其用于攻擊，授權過程也只有在 FortiClient VPN 發送兩個 API 調用以驗證設備的安全合規性和用戶的訪問級別后才會完成。 此驗證使實施攻擊變得復雜，但資源充足的攻擊者仍然可以使用 Pentera 的研究方法成功入侵目標網絡。

Pentera 與 Fortinet 分享了這項研究，但對方不認為該問題是個漏洞。目前尚不清楚 Fortinet 是否會解決這個問題。事后，Pentera 發布了一個腳本，能利用此設計缺陷來驗證 Fortinet VPN 憑證。