Riscontrate vulnerabilità in 4 prodotti VPN aziendali

15/04/2019

GlobalProtect Palo Alto Networks VPN Vulnerabilità

I ricercatori del National Defense ISAC Remote Access Working Group hanno scoperto una vulnerabilità di tipo Missing Encryption of Sensitive Data (CWE-311) in alcuni client VPN, che potrebbe fornire l’accesso alla rete aziendale da parte di un utente malintenzionato. La vulnerabilità è stata finora riscontrata nei prodotti VPN aziendali di quattro società: Cisco Systems Inc., F5 Networks Inc., Palo Alto Networks Inc. e Pulse Secure LLCI, ma secondo i ricercatori la problematica potrebbe essere presente anche in altri prodotti VPN.

La vulnerabilità risiede sulla modalità insicura con cui vengono memorizzati i cookie di autenticazione e/o di sessione in memoria e/o nei file di log. In genere i software VPN generano cookie per consentire ai lavoratori di utilizzare le applicazioni aziendali senza dover inserire la propria password ad ogni accesso o per gestire i dati creati durante le sessioni di navigazione. Questo di per se non sarebbe un problema, se non per il fatto che i cookie sono memorizzati in chiaro. L’assenza di crittografia potrebbe permettere all’attaccante di esfiltrare i token di autenticazione e/o di sessione per falsificare la sessione VPN della vittima. La vulnerabilità potrebbe quindi trasformare le connessioni VPN in un canale per violare le rete aziendali attraverso la semplice compromissione un singolo dispositivo del dipendente.

Software vulnerabile

I seguenti software memorizzano i cookie in modo non sicuro nei file di log:

  • GlobalProtect Agent 4.1.0 per Windows e GlobalProtect Agent 4.1.10 e precedenti per macOS0 (CVE-2019-1573)
  • Pulse Secure Connect Secure precedenti a 8.1R14, 8.2, 8.3R6 e 9.0R2

Le seguenti applicazioni memorizzano in cookie in modo non sicuro in memoria:

  • GlobalProtect Agent 4.1.0 per  Windows e GlobalProtect Agent 4.1.10 e precedenti per macOS (CVE-2019-1573)
  • Pulse Secure Connect Secure precedenti a 8.1R14, 8.2, 8.3R6 e 9.0R2
  • Cisco AnyConnect 4.7.x e precedenti

Remediation

Al momento sono disponibili aggiornamenti risolutivi solo per Palo Alto Networks GlobalProtect (v. 4.1.1). Per maggiori informazioni si consiglia di consultare Ii seguenti riferimenti: