Secondo il Centro di Coordinamento CERT della Carnegie Mellon University (CERT \/ CC)<\/a> numerosi client VPN aziendali sarebbero esposti a una vulnerabilit\u00e0 potenzialmente molto seria che potrebbe essere utilizzata per falsificare l’accesso riproducendo la sessione di un utente.<\/p>\n La connessione a un gateway VPN aziendale realizzato da un’azienda specifica di solito richiede un’applicazione dedicata, progettata per funzionare con esso. Finora, il problema \u00e8 stato confermato solo nelle applicazioni di quattro fornitori: Palo Alto, F5 Networks, Pulse Secure e Cisco, ma altri potrebbero essere interessati.<\/p>\n Il problema \u00e8 che le applicazioni registrano in modo non sicuro i cookie di sessione e di autenticazione in memoria o nel file di registro rendendoli accessibili a chiunque volesse farne un uso improprio. CERT \/ CC spiega:<\/p>\n Se un utente malintenzionato ha un accesso permanente all’endpoint di un utente VPN o riesce a carpire il cookie utilizzando altri metodi, pu\u00f2 rieseguire la sessione e ignorare altri metodi di autenticazione. Un utente malintenzionato avrebbe quindi accesso alle stesse applicazioni che l’utente usa attraverso la sua sessione VPN.<\/em><\/p>\n Se ci\u00f2 dovesse accadere su una rete che non impone alcuna autenticazione aggiuntiva, sarebbe come cedere i privilegi di una VPN aziendale a chiunque sia in grado di mettere le mani sui dati vulnerabili.<\/p>\n La vulnerabilit\u00e0 si manifesta in due modi: i cookie vengono memorizzati in modo non sicuro nei file di registro e i cookie vengono registrati in modo non sicuro nella memoria. I client che sono soggetti a entrambe le vulnerabilit\u00e0:<\/p>\n \u2013 Palo Alto Networks<\/strong> GlobalProtect Agent 4.1.0 per Windows<\/p>\n \u2013 Palo Alto Networks<\/strong> GlobalProtect Agent 4.1.10 e precedenti per macOS0 (CVE-2019-1573<\/a>)<\/p>\n \u2013 Pulse Secure<\/strong> Connect Secure precedente a 8.1R14, 8.2, 8.3R6, and 9.0R2<\/p>\n \u2013 Un insieme di componenti di F5<\/strong> Edge Client compresi BIG-IP APM, BIG-IP Edge Gateway, e FirePass (CVE-2013-6024<\/a>)<\/p>\n Inoltre, AnyConnect di Cisco<\/strong> versione 4.7.x e precedenti memorizza il cookie in modo non sicuro. Tuttavia, l\u2019alert elenca 237 vendor in totale, solo tre dei quali non sono sicuramente interessati. Di conseguenza:<\/p>\n \u00c8 probabile che questa configurazione sia generica per applicazioni VPN aggiuntive.<\/em><\/p>\n Ci\u00f2 dovrebbe essere preso come un avvertimento a luci rosse lampeggianti che molti altri client VPN potrebbero avere gli stessi problemi.\u00a0<\/strong><\/p>\n Sfruttare la falla nella sicurezza richiede ancora che l’attaccante stia utilizzando la stessa rete della VPN presa di mira per eseguire l’attacco replay. Non \u00e8 chiaro se l’autenticazione aggiuntiva potrebbe essere un\u2019arma di difesa.<\/p>\n Un modo per difendersi che dovrebbe funzionare \u00e8 il disconnettersi dalle sessioni, invalidando cos\u00ec i cookie memorizzati e rendendolo inutile per chiunque cerchi di rubarli.<\/p>\n Oltre a ci\u00f2, gli amministratori dovrebbero applicare patch dove sono disponibili. Nel caso di Palo Alto Networks GlobalProtect \u00e8 la versione 4.1.1, mentre Pulse Secure non ha ancora risposto. Cisco ha suggerito ai suoi utenti di chiudere sempre le sessioni per fare un refresh dei cookie, prima di aggiungere:<\/p>\n La memorizzazione dei cookie di sessione nella memoria di processo del client e, nei casi di sessioni clientless, il browser web mentre le sessioni sono attive non sono considerate un’esposizione ingiustificata.<\/em><\/p>\n F5 Networks ha dichiarato che l’archiviazione dei log non sicura \u00e8 stata risolta nel 2017 nella versione 12.1.3 e 13.1.0 e oltre. Per quanto riguarda l’archiviazione della memoria:<\/p>\n F5 \u00e8 a conoscenza dell’archiviazione non sicura della memoria dal 2013, ma non \u00e8 ancora corsa ai ripari.<\/em><\/p>\n Gli amministratori dovrebbero consultare la documentazione online<\/a> di F5 in merito.<\/p>\n<\/p><\/div>\nFattori attenuanti?<\/h2>\n
![](\"https:\/\/sophos.files.wordpress.com\/2019\/04\/vpn-pour-entreprise.jpg\"\/)
<\/p>\n