Vários aplicativos corporativos de VPN permitem que invasores ignorem a autenticação

Vários aplicativos corporativos de VPN permitem que invasores ignorem a autenticação. Os aplicativos Enterprise VPN desenvolvidos pela Palo Alto Networks, Pulse Secure, Cisco e F5 Networks armazenam cookies de autenticação e de sessão de maneira insegura de acordo com um alerta DHS / CISA e uma nota de vulnerabilidade emitida pelo CERT / CC, permitindo potencialmente que invasores ignorem a autenticação.

Conforme detalhado no banco de dados Common Weakness Enumeration no CWE-311, o fato de um aplicativo falhar em “criptografar informações críticas ou críticas antes do armazenamento ou da transmissão” pode permitir que invasores interceptem dados de tráfego, leiam e injetem código / dados mal-intencionados para executar um ataque Man-in-the-Middle (MitM).

O alerta divulgado dia 14 e abril. pela Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna (Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency – CISA, na sigla em inglês) também afirma que um potencial “invasor poderia explorar essa vulnerabilidade para assumir o controle do sistema afetado“.

Além disso, a nota de vulnerabilidade escrita por Madison Oliver, da Carnegie Mellon University, diz que “se um invasor tiver acesso persistente a um endpoint do usuário de VPN ou exfiltrar o cookie usando outros métodos, ele poderá repetir a sessão e ignorar outros métodos de autenticação e ter acesso aos mesmos aplicativos que o usuário faz através de sua sessão VPN.

O Cert/CC diz que os seguintes produtos e versões armazenam o cookie de forma insegura em arquivos de log:

  • Palo Alto Networks GlobalProtect Agent 4.1.0 para Windows e GlobalProtect Agent 4.1.10 e anterior para macOS0 (CVE-2019-1573)
  • Pulse Secure Connect Secure antes de 8.1R14, 8.2, 8.3R6 e 9.0R2

Os seguintes produtos e versões armazenam o cookie de forma insegura na memória:

  • Palo Alto Networks GlobalProtect Agent 4.1.0 para Windows e GlobalProtect Agent 4.1.10 e anterior para macOS0 (CVE-2019-1573)
  • Pulse Secure Connect Secure antes de 8.1R14, 8.2, 8.3R6 e 9.0R2
  • Cisco AnyConnect 4.7.xe prior

Além disso, de acordo com a nota do CERT/CC, “é provável que essa configuração seja genérica para outros aplicativos VPN“, o que significa que centenas de aplicativos VPN de um total de 237 fornecedores podem ser impactados pela vulnerabilidade de divulgação de informações relatada pela National Defense ISAC Remote Access Working Group

Embora os aplicativos VPN da Check Point Software Technologies e do pfSense não estejam vulneráveis, a Cisco e o Pulse Secure ainda não emitiram nenhuma informação sobre essa vulnerabilidade.

A Palo Alto Networks publicou um comunicado de segurança com mais informações sobre essa vulnerabilidade de divulgação de informações rastreada como CVE-2019-1573 e publicou o GlobalProtect Agent 4.1.1 e posterior para Windows e o GlobalProtect Agent 4.1.11 e posterior para atualizações de segurança do macOS.

A F5 Networks, por outro lado, apesar de estar “ciente do armazenamento de memória insegura desde 2013” decidiu não corrigir o problema e fornece a seguinte solução como medida de mitigação: “Para atenuar essa vulnerabilidade, você pode usar uma senha e segundo fator de autenticação em vez da autenticação baseada unicamente em senha.

No entanto, o problema de armazenamento de log inseguro foi corrigido no aplicativo B5-IP da F5 Networks desde as versões 12.1.3 e 13.0.1, lançado em 2017.

Fonte: Bleeping Computing

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

7 Trackbacks / Pingbacks

  1. Microsoft informa usuários sobre violação que afetou o Outlook
  2. Mulheres ganham espaço em Cybersecurity - Minuto da Segurança da Informação
  3. A indústria dos dados pessoais e os data brokers
  4. Amazon Alexa compartilha gravações de voz de usuários com milhares de "escutadores" - Minuto da Segurança da Informação
  5. Patch Tuesday de Abril da Microsoft Afeta McAfee, Sophos e Avast
  6. 60 Milhões registros do LinkedIn "aparecem" e "desaparecem" na Web
  7. MPDFT pede indenização de 10Milhões operadora de Bitcoins por vazamento de dados

Deixe sua opinião!