据美国政府称,思科,F5网络,Palo Alto Networks和Pulse Secure平台的业务用户受到影响。
根据美国政府网络安全和基础设施安全局(CISA)的警告,由四家供应商构建的VPN应用程序 - 思科,F5网络,Palo Alto Networks和Pulse Secure--不正确地存储用户计算机上的身份验证令牌和会话cookie 。
这意味着具有本地访问用户计算机的攻击者可以访问身份验证和/或会话令牌并重放它们以欺骗VPN会话并获得用户访问权限。
周五发布的警告是在卡内基梅隆大学漏洞披露中心CERT / CC 公开披露之后发布的。
VPN通过在A点和B点之间创建加密隧道,用于通过Internet与另一个网络建立安全连接。但是,多个VPN应用程序将身份验证和/或会话cookie不安全地存储在内存和/或日志文件中。
“如果攻击者持久访问VPN用户的端点或使用其他方法渗透cookie,他们可以重播会话并绕过其他身份验证方法,”Carnegie-Mellon咨询解释道。“然后,攻击者可以访问用户通过VPN会话执行的相同应用程序。”
其中两个平台将cookie不安全地存储在日志文件和内存中:Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows和GlobalProtect Agent 4.1.10及更早版本的macOS0(CVE-2019-1573); 在8.1R14,8.2,8.3R6和9.0R2之前的脉冲安全连接安全; 和F5 BIG-IP APM 11.4.1及更早版本中的 Edge Client组件,BIG-IP Edge Gateway 11.3及之前版本以及FirePass 7.0及之前版本(CVE-2013-6024)。
此外,根据该通报,Cisco AnyConnect 4.7.x和之前将cookie错误地存储在内存中。
可能还有其他受影响的平台:“这种配置可能是其他VPN应用程序的通用配置,”卡内基 - 梅隆团队表示。
SecurityFirst首席营销官Dan Tuchler在一封电子邮件中表示,“这些是来自领先供应商的企业级VPN,用于确保只有合法用户才能访问公司资产,并且可能会受到损害。这进一步证明了安全边界的概念已经过时,必须使用零信任模型。一旦入侵者进入公司网络并开始探测有价值的资产,就必须保护数据 - 加密数据,实施访问策略以及报告任何违规行为。围绕网络建立安全围墙的想法现在已成为一个老化的童话故事。“
Palo Alto Networks GlobalProtect版本4.1.1 修补此漏洞 ; 和F5 在2017年版本12.1.3和13.1.0及更高版本中修复了不安全的日志存储。
Carnegie-Mellon表示,自2013年以来,F5已经意识到了不安全的内存存储,但尚未修补这一方面。根据警报,Cisco AnyConnect和Pulse Secure Connect Secure似乎还没有可用的补丁。
F5向Threatpost发表声明:
“F5意识到这两个漏洞,并为CVE-2013-6024 和 CVE-2017-6139发布了建议 。CVE-2013-6024的严重程度较低,F5为客户提供了如何缓解的指导。CVE-2017-6139已在BIG-IP 12.1.3,13.1.0和13.0.1中修复,客户可以通过升级到其中一个版本来消除此漏洞。F5尚未收到客户关于这些漏洞被利用的报告。“
就其本身而言,思科就此问题向卡内基梅隆发表声明:
“我们不知道任何将当前有效的会话令牌写入日志文件的情况。
“将会话cookie存储在客户端的进程内存中,并且在会话处于活动状态时Web浏览器无客户端会话的情况下,不会被视为无根据的曝光。如果由于网络中断而需要重新建立会话,则需要这些值来维持每个设计特征的会话操作。我们已记录了这些问题,工程团队将把这些反馈意见纳入Cisco AnyConnect VPN解决方案未来设计改进的讨论中。
“还应该注意的是,一旦会话被故意终止,客户和无客户解决方案存储的所有会话资料都会被销毁.Threatpost已经联系了所有三家公司以获得更多评论。”
鉴于要求攻击者在欺骗VPN会话之前危及用户的计算机,该漏洞的严重程度为中等。
尽管如此,“在修补安全漏洞之前,使用这些应用程序的组织应该启用双因素身份验证才能连接到VPN,”Comparitech.com的隐私权倡导者Paul Bischoff建议通过电子邮件。“这样,即使黑客设法破坏安全令牌,他们仍然无法访问公司的网络和资源。”
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。