Щонайменше чотири корпоративних VPN-додатки містять схожі уразливості, які піддають ризику конфіденційність користувачів, попереджають фахівці координаційного центру CERT при Університеті Карнегі-Меллона.
Йдеться про додатки від Cisco, F5 Networks, Palo Alto Networks і Pulse Secure – всі вони зберігають сесійні cookie-файли та/або cookie для авторизації в незашифрованому вигляді в логах або в пам’яті.
Таким чином хакер з доступом до комп’ютера або пристрою, інфікованого шкідливим програмним забезпеченням, може отримати дані і продовжити VPN-сеанс жертви без авторизації.
Згідно з попередженням, cookie-файли в логах зберігають: Palo Alto Networks GlobalProtect Agent 4.1.0 для Windows і GlobalProtect Agent 4.1.10 (і більш ранні версії) для macOS (CVE-2019-1573); Pulse Secure Connect Secure до версій 8.1R14, 8.2, 8.3R6 і 9.0R2.
На дисках cookie-файли зберігають: Palo Alto Networks GlobalProtect Agent 4.1.0 для Windows і GlobalProtect Agent 4.1.10 (і нижче) для macOS (CVE-2019-1573); Pulse Secure Connect Secure до версій 8.1R14, 8.2, 8.3R6 і 9.0R2; Cisco AnyConnect 4.7.x і нижче.
Компанія Palo Alto Networks вже випустила оновлення GlobalProtect Agent 4.1.1, який усуває проблему. У F5 Networks заявили, що компанії відомо про уразливість в деяких додатках ще з 2013 року, але патч випущений не буде і порекомендували користувачам використовувати одноразові паролі або двофакторную аутентифікацію. У додатку F5 Networks BIG-IP ця проблема була виправлена в 2017 році.
В Cisco і Pulse Secure поки не коментують ситуацію.
VPN або Virtual Private Network – інструмент для по-справжньому вільного і безпечного Інтернету. Це віртуальна приватна мережа-посередник між кінцевим користувачем і Всесвітньою павутиною. Технологія дозволяє вийти в Мережу з іноземної IP-адреси, що потрібно для доступу до заблокованих у домашньому регіоні ресурсів. Крім цього, VPN варто використовувати в публічних Wi-Fi мережах для анонімізації і захисту від перехоплення переданих даних. Пропонуємо ознайомитися із топ-6 VPN-додатків для Android-смартфонів, щоб оцінити усі переваги технології.
До речі, VPN-додатки для Android, які не забезпечують безпеку, а створюють ризик витоку даних користувачів або зливають трафік третім особам, назвали у компанії Metric Labs. Фахівець Симон Мільяно дослідив близько 150 безкоштовних додатків і в багатьох випадках знайшов заявлені функції, які негативно впливають на кібербезпеку.
Майже 60% найпопулярніших безкоштовних VPN-додатків в Google Play Store і Apple App Store створили китайські розробниками або належать власникам з Китаю. Про це йдеться у звіті компанії Metric Labs.
