US-Cert は、複数の VPN サービスに重大な脆弱性があることが公表されたことを受けて警鐘を鳴らしている。
DHS サイバー セキュリティ チームからの警告は、一部の VPN プロバイダーが顧客のマシンに配置する Cookie ファイルを暗号化していないことに関する CMU 証明書調整センターの速報を参照しています。
理想的には、VPNサービスは、ユーザーがセキュアトラフィックサービスにアクセスするためにログインする際に作成されるセッションCookieを暗号化し、マルウェアやネットワーク攻撃の詮索から保護するはずです。しかし、アラートによると、これらのキーがメモリ内またはログファイル内に暗号化されずに保存され、自由にコピー・再利用できる状態になっているケースがありました。
ディレクトリトラバーサルから直接不正アクセスまで: 古典的な悪用可能なバグを利用して、TP-Link VPN ボックスをクラッシュ、乗っ取り、盗み出す
続きを読む
「攻撃者がVPNユーザーのエンドポイントに永続的にアクセスしたり、他の方法でCookieを盗み出したりした場合、セッションを再生して他の認証方法をバイパスすることができます」と投稿では説明されている。「そうなれば、攻撃者はユーザーがVPNセッションを通じてアクセスするのと同じアプリケーションにアクセスできるようになります。」
念のため申し上げますが、脆弱なCookieはサーバー自体ではなく、ユーザー側にあります。VPNサービスの乗っ取りではなく、個々の顧客アカウントの乗っ取りです。マルウェアはCookieを取得するために、マシン上のどこを探せばよいかを正確に把握している必要があります。
現時点で脆弱性が存在するのは、Windows版Palo Alto Networks GlobalProtect Agent 4.1.0、macOS版GlobalProtect Agent 4.1.10以前、Pulse Secure Connect Secure 8.1R14、8.2、8.3R6、9.0R2以前、およびCisco AnyConnect 4.7.x以前です。Palo Alto社はすでにパッチをリリースしています。
一方、Check Point と pfSense は、問題の Cookie を暗号化していることを確認しています。
しかし、この慣行は広く行われていると考えられるため、今後数十社以上のベンダーがリストに追加される可能性があります。サイトによると、200以上のアプリがセッションCookieが暗号化されていないことをまだ確認または否定していないとのことです。
「この構成は、追加の VPN アプリケーションにも共通である可能性が高い」と通知では説明されています。®
