Cisco va F5 ning Enterprise VPN ilovalar do’koni cookie-fayllari shifrlanmagan
Kompyuterga kirish huquqiga ega bo’lgan yoki uni zararli dastur bilan yuqtirgan tajovuzkor ma’lumotlarni chiqarib olishi va jabrlanuvchining VPN sessiyasini avtorizatsiyasiz davom ettirishi mumkin.
Karnegi Mellon universitetining CERT muvofiqlashtirish markazi mutaxassislarining fikriga ko’ra, kamida to’rtta korporativ VPN ilovasida foydalanuvchi maxfiyligini buzadigan shunga o’xshash zaifliklar mavjud. Ushbu ilovalar qatoriga Cisco, F5 Networks, Palo Alto Networks va Pulse Secure kompaniyalari kiradi — ularning barchasi sessiya va/yoki autentifikatsiya cookie-fayllarini jurnallarda yoki xotirada shifrlanmagan holda saqlaydi. Bu kompyuterga yoki zararli dastur bilan zararlangan qurilmaga kirish huquqiga ega bo’lgan tajovuzkorga ma’lumotlarni olish va jabrlanuvchining VPN sessiyasini avtorizatsiyasiz davom ettirish imkonini beradi.
Ogohlantirishga ko’ra, cookie-fayllar jurnallarda quyidagi dasturlar tomonidan saqlanadi: Windows uchun Palo Alto Networks GlobalProtect Agent 4.1.0 va macOS uchun GlobalProtect Agent 4.1.10 (va undan oldingi versiyalari); 8.1R14, 8.2, 8.3R6 va 9.0R2 dan oldingi Pulse Secure Connect Secure versiyalari.
Cookie-fayllar diskda quyidagilar tomonidan saqlanadi: Windows uchun Palo Alto Networks GlobalProtect Agent 4.1.0 va macOS uchun GlobalProtect Agent 4.1.10 (va undan oldingi versiyalari); 8.1R14, 8.2, 8.3R6 va 9.0R2 dan oldingi Pulse Secure Connect Secure versiyalari; Cisco AnyConnect 4.7.x va undan oldingi versiyalari.
Palo Alto Networks allaqachon GlobalProtect Agent 4.1.1 ni chiqardi, bu esa muammoni hal qiladi. F5 Networks 2013-yildan beri ba’zi ilovalardagi zaifliklardan xabardor bo’lganini, ammo yamoq chiqarmaganini va foydalanuvchilarga bir martalik parollar yoki ikki faktorli autentifikatsiyadan foydalanishni tavsiya qilganini ma’lum qildi. Bu muammo 2017-yilda F5 Networks BIG-IP ilovasida hal qilindi.
Cisco va Pulse Secure hozircha vaziyat bo’yicha izoh berishmadi.
