Segurança da Informação – Os aplicativos VPN criados por quatro fornecedores – Cisco, F5 Networks, Palo Alto Networks e Pulse Secure – estão armazenando indevidamente os tokens de autenticação e cookies de sessão sem criptografia no computador dos usuários, de acordo com um alerta da CISA (Cybersecurity and Infrastructure Security Agency).
Isso significa que os invasores, com acesso local ao computador do usuário, podem acessar tokens de autenticação e / ou sessão e reproduzi-los para falsificar a sessão VPN e obter acesso como usuário.
O alerta, divulgado na sexta-feira (15 de Abril de 2019), vem após uma divulgação pública pelo CERT / CC, o centro de divulgação de vulnerabilidades da Universidade Carnegie Mellon.
As VPNs são usadas para criar uma conexão segura com outra rede pela Internet, criando um túnel criptografado entre o ponto A e o ponto B. No entanto, vários aplicativos VPN armazenam os cookies de autenticação e / ou sessão de forma insegura na memória e / ou arquivos de log.
“Se um invasor tiver acesso persistente a um endpoint de um usuário VPN ou exfiltrar o cookie usando outros métodos, ele poderá repetir a sessão e ignorar outros métodos de autenticação”, explicou o comunicado da Carnegie-Mellon. “Um invasor teria acesso aos mesmos aplicativos que o usuário faz através de sua sessão VPN.”
Duas das plataformas estão armazenando os cookies de forma insegura nos arquivos de log e na memória: GlobalProtect Agent 4.1.0 para Windows e GlobalProtect Agent 4.1.10 e anterior para macOS0 (CVE-2019-1573); Pulse Secure Connect Secure antes de 8.1R14, 8.2, 8.3R6 e 9.0R2; e Edge Components no F5 BIG-IP APM 11.4.1 e anterior, BIG-IP Edge Gateway 11.3 e anteriores, e FirePass 7.0 e anteriores (CVE-2013-6024).
Além disso, o Cisco AnyConnect 4.7.x e o anterior armazenam o cookie incorretamente na memória, de acordo com o aviso.
Pode haver outras plataformas afetadas: “É provável que essa configuração seja genérica para aplicativos VPN adicionais”, disse a equipe da Carnegie-Mellon.
Dan Tuchler, CMO da SecurityFirst, disse em um e-mail que, “estas são VPNs de nível corporativo dos principais fornecedores, usadas para garantir que apenas usuários legítimos possam acessar ativos corporativos, e eles podem ser comprometidos.
Essa é mais uma evidência de que a noção de um perímetro seguro é obsoleta e um modelo de confiança zero deve ser usado. Uma vez que o intruso esteja na rede da empresa e comece a investigar ativos valiosos, é imperativo proteger os dados – criptografando-os, aplicando políticas de acesso e reportando quaisquer violações. A ideia de uma parede de perímetro segura ao redor da rede é agora um conto de fadas envelhecido.”
O Palo Alto Networks GlobalProtect versão 4.1.1 corrige essa vulnerabilidade; e F5 corrigiu o armazenamento de logs inseguros em 2017, nas versões 12.1.3 e 13.1.0 e seguintes.
A F5 está ciente do armazenamento de memória insegura desde 2013, mas ainda não consertou esse lado, disse a Carnegie-Mellon. Nenhum patch parece estar disponível ainda para o Cisco AnyConnect e Pulse Secure Connect Secure, de acordo com o alerta.
Por outro lado, a Cisco emitiu uma declaração à Carnegie-Mellon sobre o assunto:
“Não estamos cientes de nenhuma situação em que um token de sessão válido no momento seja gravado nos arquivos de log.
O armazenamento do cookie de sessão na memória de processo do cliente e nos casos de sessões sem cliente do navegador da Web enquanto as sessões estão ativas não são consideradas uma exposição injustificada. Esses valores são necessários para manter a operação da sessão por design do recurso, caso o restabelecimento da sessão seja necessário devido à interrupção da rede. Documentamos as preocupações e as equipes de engenharia incorporarão esse feedback às discussões para futuras melhorias de design da solução Cisco AnyConnect VPN.
Também deve ser notado que todo o material da sessão armazenado pelas soluções Client e Clientless é destruído assim que as sessões forem deliberadamente encerradas pelo ThreatTalk, entrando em contato com as três empresas para comentários adicionais.“
A vulnerabilidade é de gravidade média, devido ao requisito de que um invasor comprometa o computador do usuário, antes de falsificar a sessão da VPN.
Ainda assim, “até que a falha de segurança seja corrigida, as organizações que usam esses aplicativos devem permitir que a autenticação de dois fatores se conecte à VPN”, aconselhou Paul Bischoff, defensor de privacidade da Comparitech.com, via e-mail. “Dessa forma, mesmo que um hacker consiga comprometer um token de segurança, ele ainda não poderá acessar a rede e os recursos da empresa.”
Proteja sua empresa com Sophos Central. Saiba como. Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
- Segurança da Informação – Quase todos os ataques cibernéticos visam à cadeia de suprimentos.
- Segurança da Informação – Ataques de ransomware se tornam mais difusos, destrutivos e caros.
- Segurança da Informação – Fim das atualizações para o Patch do Microsoft Windows 7.
- Segurança da Informação – Cisco corrige bug crítico de senha padrão.
- Segurança da Informação – Invasores hospedam páginas de phishing no Azure.