Numerosos clientes VPN empresariales podrían ser vulnerables a una debilidad de seguridad potencialmente grave que podría usarse para falsificar el acceso al reproducir una sesión de usuario, advirtió una alerta del Centro de Coordinación CERT (CERT / CC) de la Universidad Carnegie Mellon.
La conexión a una puerta de enlace VPN empresarial hecha por una compañía específica generalmente requiere una aplicación dedicada diseñada para trabajar con ella. Hasta ahora, el problema solo se ha confirmado en aplicaciones de cuatro proveedores: Palo Alto, F5 Networks, Pulse Secure y Cisco, pero otros podrían verse afectados.
El problema es el sorprendentemente básico de que las aplicaciones han estado almacenando de forma insegura las cookies de sesión y de autenticación en la memoria o en los archivos de registro, lo que las hace vulnerables a un uso indebido. CERT / CC explica:
“Si un atacante tiene acceso permanente al punto final de un usuario de VPN o filtra la cookie utilizando otros métodos, puede reproducir la sesión y omitir otros métodos de autenticación. Un atacante tendría acceso a las mismas aplicaciones que el usuario a través de su sesión de VPN.”
Lo cual, si sucediera en una red que no impone una autenticación adicional, sería como entregar los privilegios de una VPN empresarial a cualquier persona que pueda tener acceso a los datos vulnerables.
La debilidad se manifiesta de dos maneras: las cookies se almacenan de forma insegura en los archivos de registro y las cookies se almacenan de forma insegura en la memoria. Los clientes sufren ambas debilidades:
– GlobalProtect Agent 4.1.0 de Palo Alto Networks para Windows
– GlobalProtect Agent 4.1.10 de Palo Alto Networks y versiones anteriores para macOS0 (CVE-2019-1573)
– Pulse Secure Connect Secure antes de 8.1R14, 8.2, 8.3R6 y 9.0R2
– Una gama de componentes de F5 Edge Client que incluyen BIG-IP APM, BIG-IP Edge Gateway y FirePass (CVE-2013-6024)
Además, la versión 4.7.xy anterior de AnyConnect de Cisco almacena la cookie de forma insegura en la memoria. Sin embargo, la alerta enumera 237 proveedores en total, solo tres de los cuales definitivamente no están afectados. Por consiguiente:
“Es probable que esta configuración sea genérica para aplicaciones VPN adicionales.”
Esto debe tomarse como una advertencia con luces rojas intermitentes que muchos más clientes de VPN pueden sufrir los mismos problemas.
Mitigaciones?
La explotación de la falla de seguridad aún requiere que el atacante esté utilizando la misma red que la VPN objetivo para llevar a cabo el ataque de repetición. No está claro si la autenticación adicional sería una defensa contra esto.
Una defensa que debería funcionar es desconectarse de las sesiones, invalidando así las cookies almacenadas y haciendo que sean inútiles para cualquiera que busque robarlas.
Más allá de eso, los administradores deben aplicar parches cuando estén disponibles. En el caso de Palo Alto Networks GlobalProtect es la versión 4.1.1, mientras que Pulse Secure aún no ha respondido. Los usuarios sugeridos por Cisco siempre deben terminar las sesiones para actualizar las cookies, antes de agregar:
“El almacenamiento de la cookie de sesión dentro de la memoria de proceso del cliente y en los casos de sesiones sin cliente, el navegador web mientras las sesiones están activas no se considera una exposición injustificada.”
F5 Networks dijo que el almacenamiento de registros inseguros se corrigió en 2017 en las versiones 12.1.3 y 13.1.0 y posteriores. En cuanto al almacenamiento de memoria:
“F5 ha sido consciente del almacenamiento de memoria inseguro desde 2013 y aún no se ha actualizado.”
Los administradores deben consultar la documentación en línea de F5 al respecto.
Fuente: nakedsecurity