Vulnerabilidade VPN

No passado dia 12 de Abril de 2019 foi divulgado, pelo “US-CERT Cybersecurity”, o trabalho de pesquisa intitulado:CERT, CISA Warn of Vuln in at Least 4 Major VPNs”.

Foi assim tornada pública uma lista de vulnerabilidades associadas aos fabricantes Cisco, F5, Palo Alto e Pulse Secure (spin-off da Juniper), relacionadas com as comunicações cifradas através das VPNs suportadas nos próprios equipamentos destes fabricantes.

As vulnerabilidades encontradas estão portanto relacionadas com a forma de gestão e salvaguarda da informação na fase de autenticação e sessão. Ficou demonstrado que os cookies estão inseguros, ou seja, não são automaticamente cifrados, permitindo assim a leitura dos dados em memória e registos de atividade nos ficheiros.

A Warpcom disponibiliza então serviços especializados com a capacidade de efetuar a análise e verificação do estado dos equipamentos e, caso seja necessário, efetuar o upgrade e parametrização de forma a reforçar a cifra dos cookies na funcionalidade de APM (Access Policy Manager), que assegura os acessos remotos “client VPNs.

Saiba como garantir a segurança da sua empresa através do portfolio de Serviços Geridos da Warpcom

https://warpcom.com/servicos/

Manfred Ferreira

Business Unit Manager

CISCO 

A Cisco indica que até à data não existe qualquer registo de atividade relacionada com os tokens das sessões.

As autenticações relatadas estão associadas aos acessos através de ligações de VPN baseada em agentes de clientes em modo tradicional ou em modo clientless. Ou seja, são considerados dados expostos apenas durante a ligação. A Cisco garante a destruição de todos os dados aquando do encerramento da sessão.

Até à data nenhuma informação adicional foi publicada, sendo a versão recomendada Cisco AnyConnect 4.7.x ou posterior.

Informação relacionada e publicada: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvk10249

F5

A F5 informa que o acesso à memória e cookies relacionado com a notícia e vulnerabilidade com os acessos remotos já era do seu conhecimento. Está disponível a parametrização para forçar os cookies a serem cifrados de forma a garantir a sua segurança e confidencialidade.

A vulnerabilidade associada assim aos registos de atividades é conhecida desde 2017, sendo os sistemas afetados nas versões 12.1.1, 12.1.2 e 13.0.0, as quais foram resolvidas na versão 12.1.3 e posteriores. A versão 11 e restantes funcionalidades da F5 não se encontram associadas nem expostas a esta vulnerabilidade.

Informação relacionada e publicada: https://support.f5.com/csp/article/K45432295

Palo Alto

A Palo Alto informa que a vulnerabilidade está presente na fase de autenticação e/ou sessões de tokens nos agentes “GlobalProtect Agent” na versão 4.1.0 para Windows e na versão 4.1.10 e anteriores para macOS a qual permite a reprodução/replicação da sessão de VPN e aquisição do acesso da VPN em nome do utilizador.

A vulnerabilidade foi mitigada pela Palo Alto nas versões GlobalProtect Agent 4.1.1 e posteriores para Windows, e GlobalProtect Agent 4.1.11 e posteriores para macOS.

Informação relacionada e publicada: https://securityadvisories.paloaltonetworks.com/Home/Detail/146

A Warpcom recomenda que efetuem portanto as seguintes ações:

  • Identificação dos equipamentos e versões vulneráveis por fabricante;
  • Atualização dos agentes de VPNs para as versões recomendadas pelos fabricantes;
  • Atualização da versão dos equipamentos para as recomendadas pelos fabricantes;
  • Reforço da parametrização da gestão e cifra dos cookies.

Se pretender mais esclarecimentos, por favor não hesite em contactar-nos.

Artigos Relacionados

ROBOT Attack

ROBOT Attack

No passado dia 12 de Dezembro de 2017 foi tornado público um trabalho de pesquisa intitulado “Return of...

Ransomware

Ransomware

No passado dia 27 de Junho, uma campanha de Ransomware afetou organizações em vários países: Rússia, Ucrânia, Índia,...

Ransomware

Ransomware

Nos últimos dias a Warpcom tem recebido vários contactos com pedidos de informação e de recomendação sobre o recente...

Categorias

BlogNew

EbooksNew

MediaNew

Warp InfoNew

Receba todos os conteúdos da Warpcom!

Artigos relacionados

Route to Cloud

Route to Cloud

"Na jornada para a cloud é necessário que o integrador de IT esteja sempre com o cliente, não só nos processos de...

L