نقص امنیتی در برنامههای VPN شرکتهای Cisco ،F5 Networks ،Palo Alto Networks و Pulse Secure به مهاجمان اجازه دسترسی به اطلاعات احراز هویت یا کوکیهای نشست را میدهد.
منبع : مرکز مدیریت راهبردی افتا
نقص امنیتی در برنامههای VPN شرکتهای Cisco ،F5 Networks ،Palo Alto Networks و Pulse Secure به مهاجمان اجازه دسترسی به اطلاعات احراز هویت یا کوکیهای نشست را میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، برنامههای VPN شرکتهای Cisco، F5 Networks، Palo Alto Networks و Pulse Secure تحت تاثیر یک نقص امنیتی قرار گرفتهاند. این برنامهها اطلاعات احراز هویت یا کوکیهای نشست را بهصورت رمزگذاری نشده در داخل حافظه رایانه یا فایلهای لاگ ذخیره میکنند.
یک مهاجم دارای دسترسی به رایانه قربانی، یا یک بدافزار در حال اجرا، میتوانند این اطلاعات احرازهویت یا کوکیهای نشست را بدست آورند و سپس آن را روی یک سیستم دیگر استفاده کنند تا بدون نیاز به احرازهویت، از نشست VPN قربانی بهرهبرداری کنند. این کار باعث میشود تا یک مهاجم بدون هیچ مانعی، دسترسی مستقیم به شبکه داخلی یک سازمان، پورتالهای اینترانت و یا سایر برنامههای حساس داشته باشد.
برنامههای زیر اطلاعات احرازهویت یا کوکیهای نشست را در داخل فایلهای لاگ ناامن ذخیره میکنند:
• نسخه ویندوز Palo Alto Networks GlobalProtect Agent ۴,۱.۰ و نسخههای کمتر از ۴.۱.۱۰ برنامه GlobalProtect Agent در سیستمعامل مک (CVE-۲۰۱۹-۱۵۷۳)
• نسخههای قبل از ۸,۱R۱۴، ۸.۲، ۸.۳R۶ و ۹.۰R۲ برنامه Pulse Secure Connect Secure
برنامههای زیر اطلاعات احرازهویت یا کوکیهای نشست را بصورت ناامن در حافظه ذخیره میکنند:
• نسخه ویندوز Palo Alto Networks GlobalProtect Agent ۴,۱.۰ و نسخههای کمتر از ۴.۱.۱۰ برنامه GlobalProtect Agent در سیستمعامل مک (CVE-۲۰۱۹-۱۵۷۳)
• نسخههای قبل از ۸,۱R۱۴، ۸.۲، ۸.۳R۶ و ۹.۰R۲ برنامه Pulse Secure Connect Secure
• نسخههای قبل از ۴,۷.x برنامه Cisco AnyConnect
برای رفع این نواقص، Palo Alto Networks یک نسخه اصلاح شده برای برنامه VPN خود منتشر کرده است. F۵ Networks اعلام کرده است که از این موضوع از سال ۲۰۱۳ آگاه بوده است و تصمیم به عدم انتشار وصله گرفته است، اما به کاربران توصیه کرده است تا از گذرواژههای یکبار مصرف یا احرازهویت دو مرحلهای استفاده کنند. مشکل ذخیره اطلاعات احرازهویت یا کوکیهای نشست در برنامه F۵ Networks BIG-IP در سال ۲۰۱۷ رفع شده است.
شرکتهای Cisco و Pulse Secure تاکنون این موضوع را تایید نکردهاند. علاوه بر این برنامهها، احتمال ناامن بودن ۲۴۰ برنامه ارائهدهنده اتصال امن سازمانی دیگر نیز وجود دارد.