美国网络安全局称,思科、F5等多家知名科技公司产品出现VPN漏洞

发表于:2019-4-17 10:15

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:黄葛树科技资讯    来源:今日头条

#
漏洞
分享:
  据美国政府称,思科,F5网络,Palo Alto Networks和Pulse Secure平台的业务用户受到影响。
  
  根据美国政府网络安全和基础设施安全局(CISA)的警告,由四家供应商构建的VPN应用程序 - 思科,F5网络,Palo Alto Networks和Pulse Secure--不正确地存储用户计算机上的身份验证令牌和会话cookie 。
  这意味着具有本地访问用户计算机的攻击者可以访问身份验证和/或会话令牌并重放它们以欺骗VPN会话并获得用户访问权限。
  周五发布的警告是在卡内基梅隆大学漏洞披露中心CERT / CC 公开披露之后发布的。
  
  VPN通过在A点和B点之间创建加密隧道,用于通过Internet与另一个网络建立安全连接。但是,多个VPN应用程序将身份验证和/或会话cookie不安全地存储在内存和/或日志文件中。
  “如果攻击者持久访问VPN用户的端点或使用其他方法渗透cookie,他们可以重播会话并绕过其他身份验证方法,”Carnegie-Mellon咨询解释道。“然后,攻击者可以访问用户通过VPN会话执行的相同应用程序。”
  其中两个平台将cookie不安全地存储在日志文件和内存中:Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows和GlobalProtect Agent 4.1.10及更早版本的macOS0(CVE-2019-1573); 在8.1R14,8.2,8.3R6和9.0R2之前的脉冲安全连接安全; 和F5 BIG-IP APM 11.4.1及更早版本中的 Edge Client组件,BIG-IP Edge Gateway 11.3及之前版本以及FirePass 7.0及之前版本(CVE-2013-6024)。
  此外,根据该通报,Cisco AnyConnect 4.7.x和之前将cookie错误地存储在内存中。
  可能还有其他受影响的平台:“这种配置可能是其他VPN应用程序的通用配置,”卡内基 - 梅隆团队表示。
  SecurityFirst首席营销官Dan Tuchler在一封电子邮件中表示,“这些是来自领先供应商的企业级VPN,用于确保只有合法用户才能访问公司资产,并且可能会受到损害。这进一步证明了安全边界的概念已经过时,必须使用零信任模型。一旦入侵者进入公司网络并开始探测有价值的资产,就必须保护数据 - 加密数据,实施访问策略以及报告任何违规行为。围绕网络建立安全围墙的想法现在已成为一个老化的童话故事。“
  Palo Alto Networks GlobalProtect版本4.1.1 修补此漏洞 ; 和F5 在2017年版本12.1.3和13.1.0及更高版本中修复了不安全的日志存储。
  Carnegie-Mellon表示,自2013年以来,F5已经意识到了不安全的内存存储,但尚未修补这一方面。根据警报,Cisco AnyConnect和Pulse Secure Connect Secure似乎还没有可用的补丁。
 
  F5向Threatpost发表声明:
  “F5意识到这两个漏洞,并为CVE-2013-6024 和 CVE-2017-6139发布了建议 。CVE-2013-6024的严重程度较低,F5为客户提供了如何缓解的指导。CVE-2017-6139已在BIG-IP 12.1.3,13.1.0和13.0.1中修复,客户可以通过升级到其中一个版本来消除此漏洞。F5尚未收到客户关于这些漏洞被利用的报告。“
  就其本身而言,思科就此问题向卡内基梅隆发表声明:
  “我们不知道任何将当前有效的会话令牌写入日志文件的情况。
  “将会话cookie存储在客户端的进程内存中,并且在会话处于活动状态时Web浏览器无客户端会话的情况下,不会被视为无根据的曝光。如果由于网络中断而需要重新建立会话,则需要这些值来维持每个设计特征的会话操作。我们已记录了这些问题,工程团队将把这些反馈意见纳入Cisco AnyConnect VPN解决方案未来设计改进的讨论中。
  “还应该注意的是,一旦会话被故意终止,客户和无客户解决方案存储的所有会话资料都会被销毁.Threatpost已经联系了所有三家公司以获得更多评论。”
  鉴于要求攻击者在欺骗VPN会话之前危及用户的计算机,该漏洞的严重程度为中等。
  尽管如此,“在修补安全漏洞之前,使用这些应用程序的组织应该启用双因素身份验证才能连接到VPN,”Comparitech.com的隐私权倡导者Paul Bischoff建议通过电子邮件。“这样,即使黑客设法破坏安全令牌,他们仍然无法访问公司的网络和资源。”

     上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号