Атакующий с доступом к компьютеру или заразивший его вредоносным ПО может извлечь данные и продолжить VPN сеанс жертвы без авторизации.
По меньшей мере четыре корпоративных VPN-приложения содержат похожие уязвимости, подвергающие риску конфиденциальность пользователей, предупреждают специалисты координационного центра CERT при Университете Карнеги-Меллона. Речь идет о приложениях от Cisco, F5 Networks, Palo Alto Networks и Pulse Secure – все они хранят сессионные cookie-файлы и/или cookie для авторизации в незашифрованном виде в логах или в памяти.
Таким образом атакующий с доступом к компьютеру или заразивший устройство вредоносным ПО может извлечь данные и продолжить VPN сеанс жертвы без авторизации.
Согласно предупреждению, cookie-файлы в логах хранят: Palo Alto Networks GlobalProtect Agent 4.1.0 для Windows и GlobalProtect Agent 4.1.10 (и более ранние версии) для macOS (CVE-2019-1573); Pulse Secure Connect Secure до версий 8.1R14, 8.2, 8.3R6 и 9.0R2.
На дисках cookie-файлы в хранят: Palo Alto Networks GlobalProtect Agent 4.1.0 для Windows и GlobalProtect Agent 4.1.10 (и ниже) для macOS (CVE-2019-1573); Pulse Secure Connect Secure до версий 8.1R14, 8.2, 8.3R6 и 9.0R2; Cisco AnyConnect 4.7.x и ниже.
Компания Palo Alto Networks уже выпустила обновление GlobalProtect Agent 4.1.1, устраняющее проблему. В F5 Networks заявили, что компании известно об уязвимостях в некоторых приложениях еще с 2013 года, но патч выпущен не будет и порекомендовали пользователям использовать одноразовые пароли или двухфакторную аутентификацию. В приложении F5 Networks BIG-IP данная проблема была исправлена в 2017 году.
В Cisco и Pulse Secure пока не комментируют ситуацию.