首頁 > 安全研究 > 安全通報 > 安全通告

企業VPN cookie不安全存儲方式漏洞安全通告

發布時間 2019-04-15

漏洞編號和級別


CVE編號:CVE-2019-1573,危險級別:高危,CVSS分值:官方未評定


影響版本


如下產品和版本以不安全的方式將 VPN 認證/會話 cookie 存儲在日志文件中:
Palo Alto Networks GlobalProtect Agent 4.1.0的Windows 版本和 GlobalProtect Agent 4.1.10之前的 macOS版本 (CVE-2019-1573)

Pulse Secure Connect Secure 早于8.1R14、8.2、8.3R6 和9.0R2 的版本


如下產品將 VPN 認證/會話 cookie以不安全的方式存儲在內存中:
Palo Alto Networks GlobalProtect Agent 4.1.0的Windows 版本和 GlobalProtect Agent 4.1.10之前的 macOS 版本 (CVE-2019-1573)
Pulse Secure Connect Secure 早于8.1R14、8.2、8.3R6 和9.0R2 的版本

思科 AnyConnect 4.7.x 和之前版本


漏洞概述


卡內基梅隆大學CERT/CC指出,至少四款企業VPN 應用中存在安全缺陷,包括思科、F5 Networks、Palo Alto Networks 和 Pulse Secure 的 VPN 應用。


這四款應用已被證實以非加密形式將認證和會話cookie存儲在計算機內存或日志文件中。具有計算機訪問權限的攻擊者或在計算機上運行的惡意軟件能夠檢索該信息并用于另外系統中以恢復受害者的 VPN 會話而無需認證。這就導致攻擊者直接且不受阻礙的訪問公司的內部網絡、內部網門戶或其它敏感的應用程序。


漏洞驗證


暫無POC/EXP。


修復建議


Palo AltoNetworks 已發布更新解決這兩個問題:

Palo Alto Networks GlobalProtect Agent 4.1.1的Windows 版本和 GlobalProtect Agent 4.1.11的 macOS0版本:https://securityadvisories.paloaltonetworks.com/Home/Detail/146?AspxAutoDetectCookieSupport=1。


F5 Networks 表示已在2013年注意到將認證/會話 cookie 以不安全的方式存儲在 OS內存中的情況,不過決定不發布補丁,而是建議消費者為VPN 客戶端啟用一次性密碼或雙因素認證機制;而存儲在本地日志文件中的問題已于2017年在 F5 Networks BIG-IP app 中解決。


思科和 Pulse Secure 尚未公開承認該這些問題的存在。


參考鏈接


https://www.zdnet.com/article/some-enterprise-vpn-apps-store-authentication-session-cookies-insecurely/

上一篇 下一篇