No passado dia 12 de Abril de 2019 foi divulgado, pelo “US-CERT Cybersecurity”, o trabalho de pesquisa intitulado:“CERT, CISA Warn of Vuln in at Least 4 Major VPNs”.
Foi assim tornada pública uma lista de vulnerabilidades associadas aos fabricantes Cisco, F5, Palo Alto e Pulse Secure (spin-off da Juniper), relacionadas com as comunicações cifradas através das VPNs suportadas nos próprios equipamentos destes fabricantes.
As vulnerabilidades encontradas estão portanto relacionadas com a forma de gestão e salvaguarda da informação na fase de autenticação e sessão. Ficou demonstrado que os cookies estão inseguros, ou seja, não são automaticamente cifrados, permitindo assim a leitura dos dados em memória e registos de atividade nos ficheiros.
A Warpcom disponibiliza então serviços especializados com a capacidade de efetuar a análise e verificação do estado dos equipamentos e, caso seja necessário, efetuar o upgrade e parametrização de forma a reforçar a cifra dos cookies na funcionalidade de APM (Access Policy Manager), que assegura os acessos remotos “client VPNs”.
Saiba como garantir a segurança da sua empresa através do portfolio de Serviços Geridos da Warpcom
Manfred Ferreira
Business Unit Manager
CISCO
A Cisco indica que até à data não existe qualquer registo de atividade relacionada com os tokens das sessões.
As autenticações relatadas estão associadas aos acessos através de ligações de VPN baseada em agentes de clientes em modo tradicional ou em modo clientless. Ou seja, são considerados dados expostos apenas durante a ligação. A Cisco garante a destruição de todos os dados aquando do encerramento da sessão.
Até à data nenhuma informação adicional foi publicada, sendo a versão recomendada Cisco AnyConnect 4.7.x ou posterior.
Informação relacionada e publicada: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvk10249
F5
A F5 informa que o acesso à memória e cookies relacionado com a notícia e vulnerabilidade com os acessos remotos já era do seu conhecimento. Está disponível a parametrização para forçar os cookies a serem cifrados de forma a garantir a sua segurança e confidencialidade.
A vulnerabilidade associada assim aos registos de atividades é conhecida desde 2017, sendo os sistemas afetados nas versões 12.1.1, 12.1.2 e 13.0.0, as quais foram resolvidas na versão 12.1.3 e posteriores. A versão 11 e restantes funcionalidades da F5 não se encontram associadas nem expostas a esta vulnerabilidade.
Informação relacionada e publicada: https://support.f5.com/csp/article/K45432295
Palo Alto
A Palo Alto informa que a vulnerabilidade está presente na fase de autenticação e/ou sessões de tokens nos agentes “GlobalProtect Agent” na versão 4.1.0 para Windows e na versão 4.1.10 e anteriores para macOS a qual permite a reprodução/replicação da sessão de VPN e aquisição do acesso da VPN em nome do utilizador.
A vulnerabilidade foi mitigada pela Palo Alto nas versões GlobalProtect Agent 4.1.1 e posteriores para Windows, e GlobalProtect Agent 4.1.11 e posteriores para macOS.
Informação relacionada e publicada: https://securityadvisories.paloaltonetworks.com/Home/Detail/146
A Warpcom recomenda que efetuem portanto as seguintes ações:
- Identificação dos equipamentos e versões vulneráveis por fabricante;
- Atualização dos agentes de VPNs para as versões recomendadas pelos fabricantes;
- Atualização da versão dos equipamentos para as recomendadas pelos fabricantes;
- Reforço da parametrização da gestão e cifra dos cookies.
Se pretender mais esclarecimentos, por favor não hesite em contactar-nos.
![[Alerta] Serviço de acesso remoto VPN e Endpoint da CheckPoint deixará de funcionar em Janeiro 2021](https://warpcom.com/wp-content/uploads/2020/12/warp-info-1-400x250.png)
![[Comunicado] Covid-19 – Plano de Continuidade de Negócios](https://warpcom.com/wp-content/uploads/2020/03/Warpcom_SocialMedia_CoronaVirus_1500x400-400x250.png)
![[Alerta] Serviço de acesso remoto VPN e Endpoint da CheckPoint deixará de funcionar em Janeiro 2021](https://warpcom.com/wp-content/uploads/2020/12/warp-info-1.png)
![[Comunicado] Covid-19 – Plano de Continuidade de Negócios](https://warpcom.com/wp-content/uploads/2020/03/Warpcom_SocialMedia_CoronaVirus_1500x400.png)
