首页 > 经济 > > 正文
2019-12-26 12:15:29

一些企业VPN应用程序不安全地存储身份验证/会话cookie

卡内基梅隆大学CERT协调中心(CERT / CC)和国土安全部计算机紧急响应中心(US-CERT)警告说,至少有四个出售或提供给企业客户的虚拟专用网(VPN)应用程序存在安全漏洞。

CERT / CC分析师Madison Oliver在今天早些时候发布的安全警报中表示,思科,F5 Networks,Palo Alto Networks和Pulse Secure的VPN应用受到了影响,DHS的US-CERT也对此表示了回应。

已经确认所有这四个文件均以非加密形式在计算机内存或磁盘上保存的日志文件中存储身份验证和/或会话cookie。

有权访问计算机或计算机上运行的恶意软件的攻击者可以检索此信息,然后在另一个系统上使用它来恢复受害者的VPN会话,而无需进行身份验证。这使攻击者可以直接不受阻碍地访问公司的内部网络,Intranet门户或其他敏感应用程序。

易受攻击的企业VPN应用

根据CERT / CC警报,以下产品和版本将VPN身份验证/会话cookie不安全地存储在日志文件中:

-适用于Windows的Palo Alto Networks GlobalProtect代理4.1.0和适用于macOS0的GlobalProtect代理4.1.10及更早版本(CVE-2019-1573 )

-在8.1R14、8.2、8.3R6和9.0R2之前的Pulse Secure Connect Secure

以下产品和版本将VPN身份验证/会话cookie不安全地存储在内存中:

-适用于Windows的Palo Alto Networks GlobalProtect代理4.1.0和适用于macOS0的GlobalProtect代理4.1.10及更早版本(CVE-2019-1573)

- 优先使用Pulse Secure Connect Secure到8.1R14、8.2、8.3R6和9.0R2

-Cisco AnyConnect 4.7.x和更低版本

Palo Alto Networks已发布更新,以解决这两个问题- 参见v4.1.1。

F5 Networks表示,自2013年以来,它已经意识到一些VPN应用程序以不安全的方式将身份验证/会话cookie存储在OS内存中,但已决定不发布补丁,建议客户启用OTP(一次性密码) )或2FA(两因素身份验证)的VPN客户端-而不是仅使用密码质询。

在2017年 F5 Networks BIG-IP应用程序中修复了将身份验证/会话cookie存储在本地日志文件中的问题。

思科和Pulse Secure尚未公开承认该问题。Check Point和pfSense的企业VPN应用被认为是安全的。

数十个(可能数百个)VPN应用可能容易受到攻击

奥利弗说:“这种配置可能是附加VPN应用程序通用的。”他暗示,CERT / CC跟踪的其他240家企业VPN提供商中,有许多也可能受到影响,并且需要进行更多测试。

与国防ISAC(一个为美国国防部门共享网络和物理安全威胁指标的社区)组成的“ 远程访问 ”工作组,引起了企业VPN身份验证/会话cookie不安全存储的问题。

相关推荐