Эллипс 1Shape 1Forma 1Прямоугольник 6 копияBTCForma 1 копия 2Прямоугольник 9Forma 1Эллипс 1Shape 1Shape 1Эллипс 1Эллипс 1Эллипс 1Эллипс 1SettingsForma 1Эллипс 1Forma 1Эллипс 1Эллипс 1× копия 4Эллипс 1Эллипс 2$Эллипс 1Эллипс 1ICQЭллипс 1Эллипс 1Эллипс 1LogoForma 1Forma 1Эллипс 1Эллипс 4Forma 1%Эллипс 1+Forma 1Эллипс 1Эллипс 3Эллипс 1Эллипс 1Эллипс 1Эллипс 1Эллипс 1*Эллипс 1WebMoneyЭллипс 1Forma 1
  • RU
  • EN
Ваш IP: 18.232.147.215

Новости

Популярные корпоративные VPN хранили cookies сессии незащищенными

Координационный центр Университета Карнеги Меллон предупреждает, что по меньшей мере четыре VPN-приложения, используемые корпоративными клиентами, содержат уязвимости. Среди проблемных приложений эксперты выделили VPN-сервисы от Cisco, F5 Networks, Palo Alto Networks и Pulse Secure.

Согласно опубликованному исследователями сообщению, все четыре приложения хранят cookie аутентификации и сессий в незашифрованном виде. Эти лог-файлы можно найти на диске компьютера или в его памяти.

В результате атакующий, у которого есть доступ к компьютеру жертвы (или установленная в системе вредоносная программа), может получить эти данные, а затем использовать их на другой системе, чтобы возобновить VPN-сессию жертвы. При этом злоумышленнику не потребуется походить процесс аутентификации.

По словам специалистов, следующие продукты хранят cookies в незащищенном виде в логах:

  • Palo Alto Networks GlobalProtect Agent 4.1.0 для Windows и GlobalProtect Agent 4.1.10 и более ранние версии для macOS (CVE-2019-1573).
  • Pulse Secure Connect Secure версии до 8.1R14, 8.2, 8.3R6 и 9.0R2.

А эти продукты хранят cookies в незащищенном виде в памяти:

Palo Alto Networks GlobalProtect Agent 4.1.0 для Windows и GlobalProtect Agent 4.1.10 и более ранние версии для macOS (CVE-2019-1573).

Pulse Secure Connect Secure версии до 8.1R14, 8.2, 8.3R6 и 9.0R2.

Cisco AnyConnect 4.7.x и более ранние версии.

Palo Alto Networks выпустила обновление v4.1.1, которое устраняет эти проблемы. В F5 Networks заявили, что разработчики в курсе этих уязвимостей с 2013 года, однако сознательно не хотят выпускать патч, рекомендуя клиентам включить OTP или 2FA.