多款企业等级的VPN应用允许骇客绕过身份认证,思科、Palo Alto Networks及Pulse Secure被点名

发布于2019-04-15 18:50:48

导读: 图片来源: CMU美国电脑网络危机处理暨协调中心(CERT/CC)上周指出,有多家业者所开发的虚拟私人网络(VirtualPrivateNetwork,VPN)
导读: Palo Alto、Pulse Secure、思科以及F5所开发的VPN含有安全漏洞,将允许骇客绕过身份认证机制,存取使用者的应用服务,截至4月15日只有Palo Alto完成修补
图片来源: 

CMU

美国电脑网络危机处理暨协调中心(CERT/CC)上周指出,有多家业者所开发的虚拟私人网络(Virtual Private Network,VPN)含有安全漏洞,将允许骇客绕过身份认证机制,存取使用者的应用服务,被点名的业者与产品包括Palo Alto Networks GlobalProtect Agent、Pulse Secure Connect Secure、思科的AnyConnect,以及F5 Networks。

有别于一般消费者所使用的VPN服务是为了藏匿自己的足迹并保障隐私,企业采用VPN服务通常是为了方便远端员工存取企业网络中的资源。

而美国国防部资讯分享与分析中心(Information Sharing and Analysis Center,ISAC)的远端存取工作小组,则发现了编号为CVE-2019-1573的安全漏洞,该漏洞的存在是因为它没有加密存放在内存或纪录档案中的认证资讯或期间Cookie,假设骇客得以存取VPN用户的终端装置或利用其它方法取得Cookie,就能重播此一期间并绕过其它身份认证机制,进而存取必须透过VPN才能使用的应用。

目前已确定此一漏洞影响了Palo Alto Networks的GlobalProtect Agent、Pulse Secure的Connect Secure、F5 Networks,以及思科的AnyConnect,但CERT表示,这似乎是VPN程式常用的配置,可能有其它VPN品牌也受波及。

迄今只有Palo Alto Networks修补了相关漏洞。