四个大牌VPN被曝出cookie存储不安全漏洞

作者:   深圳市网安计算机安全检测技术有限公司 2019/04/17 10:05:29 510次阅读 国际
文章来源:https://nosec.org/home/detail/2478.html

22.png

        近期,卡内基梅隆大学CERT协调中心警告称,至少有四个面向企业客户的VPN应用程序存在信息安全问题

        虚拟专用网络(VPN)现如今可以说是各大组织和个人必备的上网工具,它易于使用,能有效保护用户的隐私安全。人们可在间隔几千公里的情况下和特定服务器建立加密链接,实现安全通信。

        但是,如果这些VPN本身就不安全呢?此次发现的VPN漏洞是由国防部ISAC的研究人员发现的,后来由CERT协调中心发布。

        研究人员发现,多个VPN应用程序将身份凭据或会话cookie不安全地存储在内存或日志文件中。最糟糕的是,这些会话cookie都是未加密的,一旦获取日志文件,攻击者可以轻松获得敏感信息。

        根据CERT协调中心的说法,以下产品会在日志文件中以不安全的方式存储V身份凭据和会话cookie:

– Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows and GlobalProtect Agent 4.1.10 and earlier for macOS0 (CVE-2019-1573)

– Pulse Secure Connect Secure prior to 8.1R14, 8.2, 8.3R6, and 9.0R2

而以下产品和版本将身份凭据和会话cookie不安全地存储在内存中:

– Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows and GlobalProtect Agent 4.1.10 and earlier for macOS0 (CVE-2019-1573)

– Pulse Secure Connect Secure prior to 8.1R14, 8.2, 8.3R6, and 9.0R2

– Cisco AnyConnect 4.7.x and prior

在公布漏洞后,Palo Alto Networks确认了这一事实,并发布了Windows和Mac的更新补丁。

        自2013年以来,F5 Networks公司虽然已经意识到这里面蕴含的危险,但由于各种原因未能修补。不仅如此,自2017年以来,他们就已经意识到了不日志存储的不安全性,并在 12.1.3和13.1.0及更高版本进行了修复。

至于关于Cisco和Pulse Secure暂时还没有关于此漏洞的声明。

如果这些大牌VPN都存在问题,那我们还能使用哪些VPN?

你可以查看有关产品厂商的商业记录,市场状况,用户,评级等信息来初步判断。

        由于网络攻击,安全威胁,数据泄露和黑客攻击在逐年上升,VPN的需求也在不断增加。据Global Market Insights Inc统计,到2024年,VPN的整个市场将达到540亿美元的规模。

        VPNpro也公布了100个VPN产品市场份额的详细概述,所依据的信息都是基于公开可用的信息,这些信息显示NordVPN在很多方面都大幅领先于对手。

        该研究还提到了用来评价的7个最重要指标,包括品牌搜索术语,兴趣度,服务器,表现等。具体此研究可以在这里看到。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:https://securityaffairs.co/wordpress/83711/digital-id/vpn-security-flaws.html

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室