Vulnerabilità in diversi client VPN proprietari

08/10/2019

CVE 2018-13379 CVE 2018-13382 CVE 2018-13383 CVE 2019-11510 CVE 2019-11539 VPN Vulnerabilità

Dalla consueta attività di monitoraggio, il CERT-PA ha appreso che alcuni gruppi APT (Advanced Persistent Threat) sfruttano delle vulnerabilità presenti in alcuni client VPN. Ad oggi le vulnerabilità sono state riscontrate nei prodotti Pulse Secure, Fortinet e Palo Alto.

La vulnerabilità consentirebbe ad un utente malintenzionato di sfruttarla da remoto per controllare sistemi Windows, macOS e Linux, ed esfiltrare dati, recuperare file, apportare modifiche alle impostazioni di configurazione della VPN e ottenere l’accesso all’infrastruttura interna. Inoltre, l’utente potrebbe eseguire exploit secondari per accedere alla shell da root.  Gli attacchi potrebbero colpire organizzazioni governative, militari, accademiche e sanitarie.

Di seguito si riportano i dettagli della vulnerabilità:

Pulse Connect Secure

  • CVE 2019-11510: Consente ad un utente malintenzionato remoto non autenticato di leggere il contenuto dei file presenti sul dispositivo remoto, comprese eventuali informazioni sensibili e configurazioni.
  • CVE 2019-11539: Injection di comandi nell’interfaccia Web amministrativa.

Fortinet

  • CVE 2018-13379: Consente a un utente non autenticato di scaricare file di sistema
  • CVE 2018-13382: Consente a un utente malintenzionato non autenticato la modifica della password del portale Web SSL VPN.
  • CVE 2018-13383: Consente a un utente malintenzionale di ottenre una shell in esecuzione sul router.

Palo Alto

  • CVE 2019-1579: Consente a un utente remoto non autenticato di eseguire un codice.

Contromisure

Le vulnerabilità sui prodotti VPN di Fortinet e Pulse Secure sono state scoperte nei primi mesi del 2019 e le aziende hanno rilasciato varie patch ma non tutti i rilasci hanno corretto le vulnerabilità.

Le aziende interessate hanno rilasciato correzioni per risolvere le vulnerabilità sopra riportate. Per maggiori dettagli si consiglia di consultare i seguenti riferimenti:

Specifici controlli atti a scongiurare accessi non autorizzati o lo sfruttamento di vulnerabilità devono essere indirizzati al cambio preventivo delle password, al controllo delle impostazioni VPN e dei log del traffico VPN quindi ad incrementare il livello di sicurezza attivando l’autenticazione a due fattori per i servizi VPN.

 

Aggiornamento del 9 ottobre 2019:

Di seguito l’Advisory rilasciato dalla NSA.