Vulnerabilità nella security dei client VPN più diffusi

Secondo il Centro di Coordinamento CERT della Carnegie Mellon University (CERT / CC) numerosi client VPN aziendali sarebbero esposti a una vulnerabilità potenzialmente molto seria che potrebbe essere utilizzata per falsificare l’accesso riproducendo la sessione di un utente.

La connessione a un gateway VPN aziendale realizzato da un’azienda specifica di solito richiede un’applicazione dedicata, progettata per funzionare con esso. Finora, il problema è stato confermato solo nelle applicazioni di quattro fornitori: Palo Alto, F5 Networks, Pulse Secure e Cisco, ma altri potrebbero essere interessati.

Il problema è che le applicazioni registrano in modo non sicuro i cookie di sessione e di autenticazione in memoria o nel file di registro rendendoli accessibili a chiunque volesse farne un uso improprio. CERT / CC spiega:

Se un utente malintenzionato ha un accesso permanente all’endpoint di un utente VPN o riesce a carpire il cookie utilizzando altri metodi, può rieseguire la sessione e ignorare altri metodi di autenticazione. Un utente malintenzionato avrebbe quindi accesso alle stesse applicazioni che l’utente usa attraverso la sua sessione VPN.

Se ciò dovesse accadere su una rete che non impone alcuna autenticazione aggiuntiva, sarebbe come cedere i privilegi di una VPN aziendale a chiunque sia in grado di mettere le mani sui dati vulnerabili.

La vulnerabilità si manifesta in due modi: i cookie vengono memorizzati in modo non sicuro nei file di registro e i cookie vengono registrati in modo non sicuro nella memoria. I client che sono soggetti a entrambe le vulnerabilità:

– Palo Alto Networks GlobalProtect Agent 4.1.0 per Windows

– Palo Alto Networks GlobalProtect Agent 4.1.10 e precedenti per macOS0 (CVE-2019-1573)

– Pulse Secure Connect Secure precedente a 8.1R14, 8.2, 8.3R6, and 9.0R2

– Un insieme di componenti di F5 Edge Client compresi BIG-IP APM, BIG-IP Edge Gateway, e FirePass (CVE-2013-6024)

Inoltre, AnyConnect di Cisco versione 4.7.x e precedenti memorizza il cookie in modo non sicuro. Tuttavia, l’alert elenca 237 vendor in totale, solo tre dei quali non sono sicuramente interessati. Di conseguenza:

È probabile che questa configurazione sia generica per applicazioni VPN aggiuntive.

Ciò dovrebbe essere preso come un avvertimento a luci rosse lampeggianti che molti altri client VPN potrebbero avere gli stessi problemi. 

Fattori attenuanti?

Sfruttare la falla nella sicurezza richiede ancora che l’attaccante stia utilizzando la stessa rete della VPN presa di mira per eseguire l’attacco replay. Non è chiaro se l’autenticazione aggiuntiva potrebbe essere un’arma di difesa.

Un modo per difendersi che dovrebbe funzionare è il disconnettersi dalle sessioni, invalidando così i cookie memorizzati e rendendolo inutile per chiunque cerchi di rubarli.

Oltre a ciò, gli amministratori dovrebbero applicare patch dove sono disponibili. Nel caso di Palo Alto Networks GlobalProtect è la versione 4.1.1, mentre Pulse Secure non ha ancora risposto. Cisco ha suggerito ai suoi utenti di chiudere sempre le sessioni per fare un refresh dei cookie, prima di aggiungere:

La memorizzazione dei cookie di sessione nella memoria di processo del client e, nei casi di sessioni clientless, il browser web mentre le sessioni sono attive non sono considerate un’esposizione ingiustificata.

F5 Networks ha dichiarato che l’archiviazione dei log non sicura è stata risolta nel 2017 nella versione 12.1.3 e 13.1.0 e oltre. Per quanto riguarda l’archiviazione della memoria:

F5 è a conoscenza dell’archiviazione non sicura della memoria dal 2013, ma non è ancora corsa ai ripari.

Gli amministratori dovrebbero consultare la documentazione online di F5 in merito.