思科 AnyConnect 等企业 VPN 的认证和会话 cookie 存储方式被曝不安全

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士团队

卡内基梅隆大学 CERT/CC 指出，至少四款企业VPN 应用中存在安全缺陷，包括思科、F5 Networks、Palo Alto Networks 和 Pulse Secure 的 VPN 应用。

这四款应用已被证实以非加密形式将认证和/或会话 cookie 存储在计算机内存或日志文件中。具有计算机访问权限的攻击者或在计算机上运行的恶意软件能够检索该信息并用于另外系统中以恢复受害者的 VPN 会话而无需认证。这就导致攻击者直接且不受阻碍第访问公司的内部网络、内联网门户或其它敏感的应用程序。

该大学的 CERT/CC 指出，如下产品和版本以不安全的方式将 VPN 认证/会话 cookie 存储在日志文件中：

• Palo Alto Networks GlobalProtect Agent 410 的 Windows 版本以及 GlobalProtect Agent 41110 和之前的 macOS0版本 (CVE-2019-1573)

• Pulse Secure Connect Secure 早于8.1R14、8.2、8.3R6 和9.0R2 的版本

如下产品将 VPN 认证/会话 cookie以不安全的方式存储在内存中：

• Palo Alto Networks GlobalProtect Agent 4.1.0 的 Windows 版本和 GlobalProtect Agent 4.1.1.0 和之前的 macOS0 版本 (CVE-2019-1753)

• Pulse Secure Connect Secure 早于 8.1R14、8.2、8.3R6 和9.0R2 的版本

• 思科 AnyConnect 4.7.x 和之前版本

Palo AltoNetworks 已发布更新解决这两个问题。F5 Networks 表示已在2013年注意到将认证/会话 cookie 以不安全的方式存储在 OS 内存中的情况，不过决定不发布补丁，而是建议消费者为VPN 客户端启用一次性密码或双因素认证机制；而存储在本地日志文件中的问题已于2017年在 F5 Networks BIG-IP app 中解决。

思科和 Pulse Secure 尚未公开承认该这些问题的存在。Check Point 和pfSense公司的企业 VPN 应用被认为是安全的。

研究人员表示，“这种配置似乎通用于其它 VPN 应用中。”认为 CERT/CC 追踪的其它240款企业 VPN 提供商也可能受影响，可能需要进一步测试才能确认。

不安全地存储企业 VPN 认证/会话 cookie 的问题是由“远程访问”工作组和为美国国防部门提供网络和物理安全威胁指标的社区 National Defense ISAC 提出的。

原文链接

https://www.zdnet.com/article/some-enterprise-vpn-apps-store-authentication-session-cookies-insecurely/

本文由代码卫士编译，不代表其观点，转载请注明“转自代码卫士 www.codesafe.cn”。