Uwaga - te narzędzia VPN zawierają niebezpieczne dziury
-
- Janusz Chustecki,
- 15.04.2019, godz. 09:37
CERT (organizacja rejestrująca i opisująca zdarzenia naruszające bezpieczeństwo w sieci Internet) wydała komunikat w którym ostrzega, że szereg aplikacji VPN zawiera błędy, przechowując historię całych sesji oraz inne skojarzone z nimi informacje w miejscach, które nie są należycie zabezpieczone. Chodzi o logi oraz niezabezpieczone odpowiednio miejsca w pamięci komputera.
W komunikacie opublikowanym przez CERT można przeczytać, „Jeśli atakujący ma stały dostęp do punktu końcowego, na którym użytkownik konfiguruje sesje VPN, może ponownie odtworzyć taką sesję VPN bez konieczności uwierzytelnienia się. Osoba atakująca może wtedy uzyskać dostęp do tych samych aplikacji, którymi użytkownik zarządza w ramach danej sesji VPN”.
Zgodnie z ostrzeżeniem CERT, następujące rozwiązania VPN przechowują wrażliwe dane o sesjach VPN w logach (dzienniki zdarzeń): Palo Alto Networks GlobalProtect Agent 4.1.0 dla komputerów Windows; Palo Alto Networks GlobalProtect Agent 4.1.10 i wcześniejsze wersje dla komputerów macOS0 (opis tej podatności oznaczonej numerem CVE-2019-1573 znajduje się tutaj); Pulse Secure Connect Secure wersje starsze niż 8.1R14, wersja 8.2, wersja 8.3R6 i wersja 9.0R2.
Zobacz również:
- Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
- Wdrożono system, który ochroni nas przed niechcianymi wiadomościami SMS
- Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
Natomiast następujące rozwiązania VPN przechowują wrażliwe dane (pliki cookie) w niezabezpieczonej pamięci: Palo Alto Networks GlobalProtect Agent wersja 4.1.0 dla komputerów Windows; Palo Alto Networks GlobalProtect Agent wersja 4.1.10 i wcześniejsze wersje dla komputerów macOS0; Pulse Secure Connect Secure wersje starsze niż 8.1R14, wersja 8.2, wersja 8.3R6 i wersja 9.0R2; Cisco AnyConnect wersja 4.7.x i wcześniejsze wersje.
CERT twierdzi, że pakiet Palo Alto Networks GlobalProtect w wersji 4.1.1 jest już odporny na takie ataki (czytaj tutaj).
Z kolei Firma F5 informuje, że zna podaną przez CERT lukę i cały czas pracuje nad likwidującą ją łatą. Więcej informacji można znaleźć tutaj. F5 stwierdził również, że od 2017 r. Jest świadomy niebezpiecznej pamięci dziennika i naprawił ją w wersji 12.1.3 i 13.1.0 i nowszych. Więcej informacji można znaleźć tutaj.
CERT informuje też, że nie wie jak dotąd nic o tym, aby dziury znajdujące się w pakietach Cisco AnyConnect i Pulse Secure Connect Secure zostały załatane.
