卡内基梅隆大学CERT/CC指出，至少四款企业VPN应用中存在安全缺陷，包括思科、F5 Networks、Palo Alto Networks和Pulse Secure的VPN应用。

这四款应用已被证实以非加密形式将认证和/或会话cookie存储在计算机内存或日志文件中。具有计算机访问权限的攻击者或在计算机上运行的恶意软件能够检索该信息并用于另外系统中以恢复受害者的VPN会话而无需认证。这就导致攻击者直接且不受阻碍第访问公司的内部网络、内联网门户或其它敏感的应用程序。

易受攻击的企业 VPN 应用

该大学的CERT/CC指出，如下产品和版本以不安全的方式将VPN认证/会话cookie存储在日志文件中：

• Palo Alto Networks GlobalProtect Agent 410的Windows版本以及GlobalProtect Agent 41110和之前的macOS0版本(CVE-2019-1573)

• Pulse Secure Connect Secure早于8.1R14、8.2、8.3R6和9.0R2的版本

如下产品将VPN认证/会话cookie以不安全的方式存储在内存中：

• Palo Alto Networks GlobalProtect Agent 4.1.0的Windows版本和GlobalProtect Agent 4.1.1.0和之前的macOS0版本(CVE-2019-1753)

• Pulse Secure Connect Secure早于8.1R14、8.2、8.3R6和9.0R2的版本

• 思科AnyConnect 4.7.x和之前版本

Palo AltoNetworks已发布更新解决这两个问题。F5 Networks表示已在2013年注意到将认证/会话cookie以不安全的方式存储在OS内存中的情况，不过决定不发布补丁，而是建议消费者为VPN客户端启用一次性密码或双因素认证机制；而存储在本地日志文件中的问题已于2017年在F5 Networks BIG-IP app中解决。

思科和Pulse Secure尚未公开承认该这些问题的存在。Check Point和pfSense公司的企业VPN应用被认为是安全的。

数十款甚至数百款 VPN 应用易遭攻击

研究人员表示，“这种配置似乎通用于其它VPN应用中。”认为CERT/CC追踪的其它240款企业VPN提供商也可能受影响，可能需要进一步测试才能确认。

不安全地存储企业VPN认证/会话cookie的问题是由“远程访问”工作组和为美国国防部门提供网络和物理安全威胁指标的社区National Defense ISAC提出的。

本文由360代码卫士翻译自ZDNet

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。