Các chuyên gia bảo mật mới đây đã phát hiện ra rằng nhiều ứng dụng VPN doanh nghiệp được phát triển bởi những công ty phần mềm như Palo Alto Networks, Pulse Secure, Cisco và F5 Networks đang lưu trữ các cookie xác thực và cookie phiên một cách không an toàn, có khả năng cho phép kẻ tấn công bỏ qua tính năng xác thực mặc định.
Thông tin trên được đưa ra trong báo báo của DHS/CISA và ghi chú lỗ hổng do CERT/CC phát hành. Ngoài ra, như được nêu chi tiết tại cơ sở dữ liệu Common Weakness Enumeration trong CWE-311, việc ứng dụng không "mã hóa thông tin nhạy cảm hoặc quan trọng trước khi lưu trữ hoặc truyền dữ liệu" có thể cho phép kẻ tấn công tiến hành chặn dữ liệu lưu lượng, đọc và tiêm mã cũng như dữ liệu độc hại vào hệ thống để qua đó thực hiện một cuộc tấn công Man-in-the-Middle (MitM).
Bên cạnh đó, thông báo được chính đưa ra vào hôm qua 15/4 bởi Cơ quan an ninh mạng và an ninh cơ sở hạ tầng (CISA) của Bộ An ninh nội địa Hoa Kỳ cũng khẳng định rằng một "kẻ tấn công có thể khai thác lỗ hổng này để kiểm soát hệ thống bị ảnh hưởng".
Trong khi đó, ghi chú về lỗ hổng được viết bởi nhà nghiên cứu bảo mật nổi tiếng Madison Oliver của Đại học Carnegie Mellon cũng nói rằng "nếu kẻ tấn công có quyền truy cập liên tục vào điểm cuối của người dùng VPN hoặc làm rò rỉ cookie bằng nhiều phương pháp khác, chúng hoàn toàn có thể quay lại phiên và bỏ qua các phương thức xác thực hiện có. Kẻ tấn công sau đó sẽ có quyền truy cập vào các ứng dụng mà người dùng thực hiện thông qua phiên VPN của mình".
Thông báo của CERT/CC như sau:
Các ứng dụng và phiên bản ứng dụng VPN sau đây đang lưu trữ cookie không an toàn trong các tệp nhật ký:
- Palo Alto Networks GlobalProtect Agent 4.1.0 cho Windows, GlobalProtect Agent 4.1.10 và các phiên bản trước đó cho macOS0 (CVE-2019-1573).
- Pulse Secure Connect Secure phiên bản trước 8.1R14, 8.2, 8.3R6 và 9.0R2.
Các ứng dụng và phiên bản ứng dụng sau lưu trữ cookie không an toàn trong bộ nhớ:
- Palo Alto Networks GlobalProtect Agent 4.1.0 cho Windows, GlobalProtect Agent 4.1.10 và các phiên bản trước đó cho macOS0 (CVE-2019-1573).
- Pulse Secure Connect Secure phiên bản trước 8.1R14, 8.2, 8.3R6 và 9.0R2.
- Cisco AnyConnect 4.7.x và các phiên bản trước đó.
Ngoài ra, theo ghi chú của CERT/CC thì "có khả năng cấu hình này là chung cho các ứng dụng VPN bổ sung", tức là hàng trăm ứng dụng VPN từ tổng số 237 nhà cung cấp trên thị trường hiện nay hoàn toàn có khả năng bị ảnh hưởng bởi lỗ hổng tiết lộ thông tin này.
Trong khi các ứng dụng VPN từ Check Point Software Technologies và pfSense đã được chứng minh là không dễ bị tấn công, 2 nhà cung cấp dịch vụ VPN lớn khác là Cisco và Pulse Secure hiện vẫn chưa đưa ra bất kỳ thông tin phản hồi nào về lỗ hổng này.
Trong một động thái liên quan, Palo Alto Networks đã đăng tải một khuyến cáo bảo mật, trong đó có nêu thêm thông tin về lỗ hổng bảo mật CVE-2019-1573 này, đồng thời cũng tung ra phiên bản GlobalProtect Agent 4.1.1 cho người dùng Windows, và sau đó là GlobalProtect Agent 4.1.11 cho các cập nhật bảo mật trên macOS.
Mặt khác, F5 Networks đã "nhận thức được việc lưu trữ bộ nhớ không an toàn từ năm 2013" và quyết định không vá lỗ hổng này, mà thay vào đó cung cấp giải pháp sau đây như một biện pháp giảm thiểu ảnh hưởng cho người dùng:
"Để giảm thiểu ảnh hưởng từ lỗ hổng này, bạn có thể sử dụng mật khẩu dùng một lần hoặc xác thực 2 yếu tố (two-factor authentication) thay vì xác thực dựa trên mật khẩu thông thường”.
Tuy nhiên, sự cố lưu trữ nhật ký không an toàn cũng đã được nhà phát hành này vá trong ứng dụng F5 Networks BIG-IP kể từ phiên bản 12.1.3 và 13.0.1, được phát hành vào năm 2017.
PulseSecure cũng đã đưa ra một khuyến cáo bảo mật ngoài chu kỳ liên quan đến việc xử lý cookie phiên không đúng trong một số phiên bản của ứng dụng Pulse Desktop Client và Pulse Connect Secure (cho khách hàng Network Connect). Nhà cung cấp này nói rằng các phiên bản vá của Pulse Desktop Client hoặc Pulse Connect Secure (dành cho khách hàng Network Connect) đã có sẵn để tải về trên Pulse Secure Download Center.