卡内基梅隆大学CERT协调中心(CERT / CC)警告称,至少有四个虚拟专用网(VPN)应用程序已售出或可供企业客户共享安全漏洞。
CERT / CC分析师麦迪逊奥利弗在今天早些时候发布的安全警报中表示,来自思科,F5网络,Palo Alto Networks和Pulse Secure的VPN应用受到影响。
已确认所有四个都以非加密形式将身份验证和/或会话cookie存储在计算机内存或磁盘上保存的日志文件中。
有权访问计算机或计算机上运行的恶意软件的攻击者可以检索此信息,然后在另一个系统上使用它来恢复受害者的VPN会话,而无需进行身份验证。这允许攻击者直接且不受阻碍地访问公司的内部网络,Intranet门户或其他敏感应用程序。
易受攻击的企业VPN应用程序
根据CERT / CC警报,以下产品和版本在日志文件中不安全地存储VPN身份验证/会话cookie:
- 用于Windows的Palo Alto Networks GlobalProtect代理4.1.0和用于macOS0的GlobalProtect代理4.1.10及更早版本(CVE-2019-1573) )
- 在8.1R14,8.2,8.3R6和9.0R2之前的脉冲安全连接安全
以下产品和版本将VPN身份验证/会话cookie不安全地存储在内存中:
- Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows和GlobalProtect Agent 4.1.10及更早版本的macOS0(CVE-2019-1573)
- Pulse Secure Connect安全优先至8.1R14,8.2,8.3R6和9.0R2
- Cisco AnyConnect 4.7.x及更早版本
Palo Alto Networks发布了一个更新以解决这两个问题 - 请参阅v4.1.1。
F5 Networks表示已经意识到自2013年以来,它的某些VPN应用程序以不安全的方式将身份验证/会话cookie存储在操作系统内存中,但已做出决定不发布补丁,建议客户启用OTP(一次性密码) )或VPN客户端的2FA(双因素身份验证) - 而不仅仅是使用密码质询。
将身份验证/会话cookie存储在本地日志文件中的问题在2017年的F5 Networks BIG-IP应用程序中进行了修补。
思科和Pulse Secure尚未公开承认这些问题。Check Point和pfSense的企业VPN应用程序被认为是安全的。