image

Beveiligingslek in vpn-software Cisco, Palo Alto en Pulse Secure

donderdag 11 april 2019, 17:11 door Redactie, 2 reacties
Laatst bijgewerkt: 12-04-2019, 09:25

In de vpn-software van Cisco, Palo Alto Networks en Pulse Secure is een beveiligingslek gevonden waardoor een aanvaller met toegang tot het endpoint sessiecookies kan stelen om zo als de gebruiker in te loggen. Alleen Palo Alto Networks heeft een beveiligingsupdate uitgebracht.

Dat laat het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit weten. Palo Alto Networks GlobalProtect, Pulse Secure Connect Secure en Cisco AnyConnect blijken de authenticatie en/of sessiecookies onveilig in het geheugen en/of logbestanden op te slaan. Een aanvaller die toegang tot de computer van de gebruiker heeft kan deze sessiecookies stelen.

Daarmee is het mogelijk om de sessie opnieuw af te spelen en zo andere authenticatiemethodes te omzeilen. Een aanvaller heeft op deze manier toegang tot dezelfde applicaties waar de gebruiker via de vpn-verbinding toegang toe heeft. Volgens het CERT/CC geldt deze configuratie waarschijnlijk voor veel meer vpn-applicaties. Voor gebruikers van Palo Alto Networks GlobalProtect is er een update verschenen (versie 4.1.1 voor Windows en 4.1.11 voor macOS). Cisco en Pulse Secure zouden nog geen updates hebben uitgebracht.

Reacties (2)
13-04-2019, 14:13 door karma4
Geen reacties, dat is raar. https://www.pulsesecure.net/solutions/government/ Met een naam als cisco als en dragende partij weet je dat er veel belangrijke klanten er achter zitten. Het risico van een lek is dat thuisgebruik met bedrijfs pc's kan lekken. Gelukkig staat er ook vermeld dat er al toegang tot die machine moet zijn.
14-04-2019, 09:45 door Anoniem
Tja, als er toegang tot een lokaal systeem is dan is er heel veel mogelijk. Ben ook benieuwd wat de fixes precies inhouden. Links of rechtsom stuur je eens de sessie ID naar de VPN oplossing. Dus dat kan ook gezien worden.

Daarnaast mag je hopen dat de software voor elke sessie een nieuwe ID genereerd en de sessie op de VPN server kant en idle timeout heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.