登陆

章鱼足球彩票推荐-美国网络安全局称,思科、F5等多家闻名科技公司产品呈现VPN缝隙

admin 2019-05-14 186人围观 ,发现0个评论

据美国政府称,思科,F5网络,Palo Alto Networks和Pulse Secure渠道的事务用户遭到影响。

依据美国政府网络安全和基础设施安全局(CISA)的章鱼足球彩票推荐-美国网络安全局称,思科、F5等多家闻名科技公司产品呈现VPN缝隙正告,由四家供货商构建的VPN应用程序 - 思科,F5网络,Palo Alto Networks和Pulse Secure--不正确地存储用户核算机上的身份验证令牌和会话cookie 。

这意味章鱼足球彩票推荐-美国网络安全局称,思科、F5等多家闻名科技公司产品呈现VPN缝隙着具有本地拜访用户核算机的攻击者能够拜访身份验证和/或会话令牌并重放它们以诈骗VPN会话并取得用户拜访权限。

周五发布的正告是在卡内基梅隆大学缝隙发表中心CERT / CC 揭露发表之后发布的。

VPN经过在A点和B点之间创立加密地道,用于经过Internet与另一个网络树立安全衔接。可是,多个VPN应用程序将身份验证和/或会话cookie不安全地存储在内存和钱嘉乐/或日志文件中。

“假如攻击者耐久拜访VPN用户的端点或运用其他办法浸透cookie,他们能够重播会话并绕过其他身份验证办法,”Carnegie-Mellon咨询解释道。“然后,攻击者能够拜访用户经过VPN会话履行的相同应用程序。”章鱼足球彩票推荐-美国网络安全局称,思科、F5等多家闻名科技公司产品呈现VPN缝隙

其间两个渠道将cookie不安全地存储在日志文件和内存中:Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows和GlobalProtect Agent 4.1.10及更早版别的macOS0(CVE-2019-1573); 在8.1R14,8.2,8.3R6和9.0R2之前的脉冲安全衔接安全; 和F5 BIG-IP APM 11.4.1及更早版别中的 Edge Client组件,BIG-IP Edge Gateway 11.3及之前版别以及FirePass 7.0及之前版别(CVE-2013-6024)。

此外,依据该通报,Cisco AnyConnect 4.7.x和之前将cookie过错地存储在内存中。

或许章鱼足球彩票推荐-美国网络安全局称,思科、F5等多家闻名科技公司产品呈现VPN缝隙还有其他受影响的渠道:“这种装备或许是其他VPN应用程序的通用装备,”卡内基 - 梅隆团队表明。

SecurityFirst首席营销官Dan Tuchler在一封电子邮件中表明,“这些是来自抢先供货商的企业级VPN,用于保证只要合法用户才干拜访公司财物,而且或许会遭到危害。这进一步证明了安全鸿沟的概念现已过期,有必要运用零信赖模型。一旦入侵者进入公司网络并开端勘探有价值的财物,就有必要维护数据 - 加密数据,施行拜访战略以及陈述任何违规行为。环绕网络树立安全围墙的主意现在已成为一个老化的童话故事。“

Palo Alto Networks GlobalProtect版别4.1.1 修补此缝隙 ; 和F5 在2017年版别12.1.3和13.1.0及更高版别中修正了不安全的日志存储。

Carnegie-Mellon表明,自2013年以来,F5现已认识到了不安全的内存存储,但没有修补这一方面。依据警报,Cisco AnyConnect和Pulse Secure Connect Secure好像还没有可用的补丁。

F5向Threatpost发表声明:

“F5认识到这两个缝隙,并为CVE-2013-6024 和 CVE-2017-6139发布了主张 。CVE-2013-6024的严峻程度较低,F5为客户供给了怎么缓解的辅导。CVE-2017-6139已在BIG-IP 12.1.3,13.1.0和13.0.1中修正,客户能够经过升级到其间一个版别来消除此缝隙。F5没有收到客户关于这些缝隙被运用的陈述。“

就其自身而言,思科就此问题向卡内基梅隆发表声明:

“咱们不知道任何将当时有用的会话令牌写入日志文件的状况。

“将会话cookie存储在客户端的进程内存中,而且在会话处于活动状况时Web浏览器无客户端会话的状况下,不会被视为无依据的曝光。假如因为网络中止而需求从头树立会话,则需求这些值来保持每个规划特征的会话操作。咱们已记录了这些问题,工程团队将把这些反应定见归入Cisco AnyConnect VPN解决方案未来规划改善的谈论中。

“还应该留意的是,一旦会话被成心停止,客户和无客户解决方案存储的一切会话材料都会被毁掉.Threatpost现已联系了一切三家公司以取得更多谈论。”

鉴于要求攻击者在诈骗VPN会话之前危及用户的核算机,该缝隙的严峻程度为中等。

尽管如此,“在修补安全缝隙之前,运用这些应用程序的安排应该启用双要素身份验证才干衔接到VPN,”Comparitech.com的隐私权倡导者Paul Bischoff主张经过电子邮件。“这样,即便黑客设法损坏安全令牌,他们依然无法拜访公司的网络和资源。”

请关注微信公众号
微信二维码
不容错过
Powered By Z-BlogPHP