国土安全部已经发出警告VPN来自思科、帕洛阿尔托、F5和Pulse的软件包可能会不正确地保护令牌和cookie的安全,从而给不法行为者打开一个入侵和控制终端用户系统的机会。
国土安全部的网络安全和基础设施安全局(CISA)警告Carnegie Mellon's CERT通知称,多个VPN应用程序在内存和/或日志文件中不安全地存储身份验证和/或会话cookie。
“如果攻击者可以持续访问VPN用户的端点,或者使用其他方法溢出cookie,他们可以重放会话并绕过其他认证方法,”CERT写道。“这样,攻击者就可以访问用户通过VPN会话使用的相同应用程序。”
根据CERT警告,以下产品和版本在日志文件中存储cookie不安全:
- Palo Alto Networks为Windows提供GlobalProtect代理4.1.0,为macOS0提供GlobalProtect代理4.1.10及更早版本(cve - 2019 - 1573)
- 脉冲安全连接安全之前的8.1R14, 8.2, 8.3R6,和9.0R2。
以下产品和版本在内存中存储cookie不安全:
- 帕洛阿尔托网络公司针对Windows的GlobalProtect代理4.1.0和针对macOS0的GlobalProtect代理4.1.10和更早的版本。
- 脉冲安全连接安全之前的8.1R14, 8.2, 8.3R6,和9.0R2。
- 思科AnyConnect 4.7。x和之前。
CERT表示,帕洛阿尔托网络的全球保护版本为4.1.1补丁这个漏洞。
F5表示,它知道这两个漏洞,并已发布了警告cve - 2013 - 6024和cve - 2017 - 6139。CVE-2013-6024的严重程度较低,F5为客户提供了如何缓解的指导。CVE-2017-6139已经修复了BIG-IP 12.1.3、13.1.0和13.0.1,客户可以通过升级到其中一个版本来消除漏洞。F5还没有收到客户关于这些漏洞被利用的报告。
CERT表示,在发布思科AnyConnect补丁时,它不知道有任何补丁。
Pulse表示,它收到了CERT关于一个漏洞的通知。这个漏洞会影响旧版本的Pulse安全桌面和网络连接客户端。然而,Pulse Secure已经在最新的Pulse桌面客户端和网络连接产品中修复了这个漏洞。Pulse发布了相关安全建议,将此事向公众披露安全咨询- SA44114。
CERT称赞的国防ISAC远程访问工作组用于报告漏洞。