圖片來源: 

CMU

美國電腦網路危機處理暨協調中心(CERT/CC)上周指出,有多家業者所開發的虛擬私人網路(Virtual Private Network,VPN)含有安全漏洞,將允許駭客繞過身分認證機制,存取使用者的應用服務,被點名的業者與產品包括Palo Alto Networks GlobalProtect Agent、Pulse Secure Connect Secure、思科的AnyConnect,以及F5 Networks。

有別於一般消費者所使用的VPN服務是為了藏匿自己的足跡並保障隱私,企業採用VPN服務通常是為了方便遠端員工存取企業網路中的資源。

而美國國防部資訊分享與分析中心(Information Sharing and Analysis Center,ISAC)的遠端存取工作小組,則發現了編號為CVE-2019-1573的安全漏洞,該漏洞的存在是因為它沒有加密存放在記憶體或紀錄檔案中的認證資訊或期間Cookie,假設駭客得以存取VPN用戶的終端裝置或利用其它方法取得Cookie,就能重播此一期間並繞過其它身分認證機制,進而存取必須透過VPN才能使用的應用。

目前已確定此一漏洞影響了Palo Alto Networks的GlobalProtect Agent、Pulse Secure的Connect Secure、F5 Networks,以及思科的AnyConnect,但CERT表示,這似乎是VPN程式常用的配置,可能有其它VPN品牌也受波及。

截稿前Palo Alto Networks、Pulse Secure已修補了相關漏洞。

2019/4/16更新:Pulse Secure已於4/12發布更新,內文已補充。


Advertisement

更多 iThome相關內容