US CERT warnt vor VPN-App mit Schwachstellen

Die Cybersecurity and Infrastructure Security Agency (CISA) und das US-CERT warnt vor Schwachstellen in VPN-Anwendungen für Unternehmensumgebungen.


Anzeige

Virtual Private Networks (VPNs) werden verwendet, um eine sichere Verbindung mit einem anderen Netzwerk über das Internet herzustellen. Mehrere VPN-Anwendungen speichern die Authentifizierung und/oder Session-Cookies jedoch unsicher in Speicher- und/oder Protokolldateien.

In dieser Warnung (Vulnerability Note VU#192371) des Software Engineering Institute der Carnegie Mellon University vom 11.4.2019 wird vor diesen Schwachstellen in VPN-Anwendungen gewarnt. Dort heißt es,  dass VPN-Anwendungen Sitzungs-Cookies unsicher speichern. Dazu heißt es:

CWE-311: Missing Encryption of Sensitive Data
The following products and versions store the cookie insecurely in log files:

– Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows and GlobalProtect Agent 4.1.10 and earlier for macOS0 (CVE-2019-1573)
– Pulse Secure Connect Secure prior to 8.1R14, 8.2, 8.3R6, and 9.0R2
The following products and versions store the cookie insecurely in memory:
– Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows and GlobalProtect Agent 4.1.10 and earlier for macOS0 (CVE-2019-1573)
– Pulse Secure Connect Secure prior to 8.1R14, 8.2, 8.3R6, and 9.0R2
– Cisco AnyConnect 4.7.x and prior

Der obige Textauszug benennt die betreffenden VPN-Produkte verschiedener Hersteller, die in Unternehmensumgebungen verwendet werden. Weitere VPN-Produkte, die auf den obigen Anwendungen aufsetzen, dürften betroffen sein.

Wenn ein Angreifer dauerhaften Zugriff auf den Endpunkt eines VPN-Benutzers hat oder das Cookie mit anderen Methoden exfiltriert, kann er die Sitzung erneut abspielen und andere Authentifizierungsmethoden umgehen. Ein Angreifer hätte dann Zugriff auf die gleichen Anwendungen wie der Benutzer über seine VPN-Sitzung. Palo Alto Networks GlobalProtect Version 4.1.1.1 behebt diese Schwachstelle. Von den anderen Anbietern sind noch keine Updates bekannt. (via Techchrunch).


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.