企业VPN cookie不安全存储方式漏洞安全通告
发布时间 2019-04-15漏洞编号和级别
CVE编号:CVE-2019-1573,危险级别:高危,CVSS分值:官方未评定
影响版本
Palo Alto Networks GlobalProtect Agent 4.1.0的Windows 版本和 GlobalProtect Agent 4.1.10之前的 macOS版本 (CVE-2019-1573)
Pulse Secure Connect Secure 早于8.1R14、8.2、8.3R6 和9.0R2 的版本
Palo Alto Networks GlobalProtect Agent 4.1.0的Windows 版本和 GlobalProtect Agent 4.1.10之前的 macOS 版本 (CVE-2019-1573)
Pulse Secure Connect Secure 早于8.1R14、8.2、8.3R6 和9.0R2 的版本
思科 AnyConnect 4.7.x 和之前版本
漏洞概述
卡内基梅隆大学CERT/CC指出,至少四款企业VPN 应用中存在安全缺陷,包括思科、F5 Networks、Palo Alto Networks 和 Pulse Secure 的 VPN 应用。
这四款应用已被证实以非加密形式将认证和会话cookie存储在计算机内存或日志文件中。具有计算机访问权限的攻击者或在计算机上运行的恶意软件能够检索该信息并用于另外系统中以恢复受害者的 VPN 会话而无需认证。这就导致攻击者直接且不受阻碍的访问公司的内部网络、内部网门户或其它敏感的应用程序。
漏洞验证
暂无POC/EXP。
修复建议
Palo AltoNetworks 已发布更新解决这两个问题:
Palo Alto Networks GlobalProtect Agent 4.1.1的Windows 版本和 GlobalProtect Agent 4.1.11的 macOS0版本:https://securityadvisories.paloaltonetworks.com/Home/Detail/146?AspxAutoDetectCookieSupport=1。
F5 Networks 表示已在2013年注意到将认证/会话 cookie 以不安全的方式存储在 OS内存中的情况,不过决定不发布补丁,而是建议消费者为VPN 客户端启用一次性密码或双因素认证机制;而存储在本地日志文件中的问题已于2017年在 F5 Networks BIG-IP app 中解决。
思科和 Pulse Secure 尚未公开承认该这些问题的存在。
参考链接
京公网安备11010802024551号