多款企业等级的VPN应用允许黑客绕过身份认证,思科等被点名

美国计算机网络危机处理暨协调中心(CERT/CC)上周指出,有多家企业所开发的虚拟私人网络(Virtual Private Network,VPN)含有安全漏洞,将允许黑客绕过身份认证机制,访问用户的应用服务,被点名的企业与产品包括Palo Alto Networks GlobalProtect Agent、Pulse Secure Connect Secure、思科的AnyConnect,以及F5 Networks。

有别于一般消费者所使用的VPN服务是为了藏匿自己的足迹并保障隐私,企业采用VPN服务通常是为了方便远程员工访问企业网络中的资源。

而美国国防部信息分享与分析中心(Information Sharing and Analysis Center,ISAC)的远程访问工作小组,则发现了编号为CVE-2019-1573的安全漏洞,该漏洞的存在是因为它没有加密存放在内存或纪录文件中的认证信息或期间Cookie,假设黑客得以访问VPN用户的终端设备或利用其它方法取得Cookie,就能重播该期间并绕过其它身份认证机制,进而访问必须通过VPN才能使用的应用。

目前已确定该漏洞影响了Palo Alto Networks的GlobalProtect Agent、Pulse Secure的Connect Secure、F5 Networks,以及思科的AnyConnect,但CERT表示,这似乎是VPN程序常用的配置,可能有其它VPN品牌也受波及。

迄今只有Palo Alto Networks修补了相关漏洞。