四个大牌VPN被曝出cookie存储不安全漏洞

22.png

近期,卡内基梅隆大学CERT协调中心警告称,至少有四个面向企业客户的VPN应用程序存在信息安全问题

虚拟专用网络(VPN)现如今可以说是各大组织和个人必备的上网工具,它易于使用,能有效保护用户的隐私安全。人们可在间隔几千公里的情况下和特定服务器建立加密链接,实现安全通信。

但是,如果这些VPN本身就不安全呢?此次发现的VPN漏洞是由国防部ISAC的研究人员发现的,后来由CERT协调中心发布。

研究人员发现,多个VPN应用程序将身份凭据或会话cookie不安全地存储在内存或日志文件中。最糟糕的是,这些会话cookie都是未加密的,一旦获取日志文件,攻击者可以轻松获得敏感信息。

根据CERT协调中心的说法,以下产品会在日志文件中以不安全的方式存储V身份凭据和会话cookie:

– Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows and GlobalProtect Agent 4.1.10 and earlier for macOS0 (CVE-2019-1573)

– Pulse Secure Connect Secure prior to 8.1R14, 8.2, 8.3R6, and 9.0R2

而以下产品和版本将身份凭据和会话cookie不安全地存储在内存中:

– Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows and GlobalProtect Agent 4.1.10 and earlier for macOS0 (CVE-2019-1573)

– Pulse Secure Connect Secure prior to 8.1R14, 8.2, 8.3R6, and 9.0R2

– Cisco AnyConnect 4.7.x and prior

在公布漏洞后,Palo Alto Networks确认了这一事实,并发布了Windows和Mac的更新补丁

自2013年以来,F5 Networks公司虽然已经意识到这里面蕴含的危险,但由于各种原因未能修补。不仅如此,自2017年以来,他们就已经意识到了不日志存储的不安全性,并在 12.1.3和13.1.0及更高版本进行了修复。

至于关于Cisco和Pulse Secure暂时还没有关于此漏洞的声明。

如果这些大牌VPN都存在问题,那我们还能使用哪些VPN?

你可以查看有关产品厂商的商业记录,市场状况,用户,评级等信息来初步判断。

由于网络攻击,安全威胁,数据泄露和黑客攻击在逐年上升,VPN的需求也在不断增加。据Global Market Insights Inc统计,到2024年,VPN的整个市场将达到540亿美元的规模。

VPNpro也公布了100个VPN产品市场份额的详细概述,所依据的信息都是基于公开可用的信息,这些信息显示NordVPN在很多方面都大幅领先于对手。

该研究还提到了用来评价的7个最重要指标,包括品牌搜索术语,兴趣度,服务器,表现等。具体此研究可以在这里看到。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:https://securityaffairs.co/wordpress/83711/digital-id/vpn-security-flaws.html

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐