【唔好搞錯】大品牌一樣失手 CERT 公布多個企業級 VPN 漏洞
美國電腦網絡危機處理及協調中心 CERT 日前公布,多家廠商推出嘅企業 VPN (Virtual Private Network,VPN)服務存有安全漏洞,名單中更不乏大品牌,例如 Palo Alto 、Cisco、F5 Networks、Pulse Secure 等。以為企業級 VPN 就等於 100% 安全?咪傻喇。
平民百姓用 VPN ,無非都係為咗翻牆或藏匿自己嘅數碼足跡;而企業用 VPN ,好多時都係為咗方便遠端員工安全地存取企業網絡中嘅資料。雖然由大公司推出嘅企業級 VPN 好似安全好多,不過, CERT 日前就打破呢個美麗嘅誤會,公布多家大品牌推出嘅 VPN 存在安全漏洞,並且將漏洞編為 CVE-2019-1573 及 CVE-2016-8201。
漏洞嘅出現,全因未有將存放喺記憶體或記錄檔案中嘅認證資訊或期間嘅 cookie 加密,黑客可以透過 XSS 等攻擊方法,讀取目標電腦或上網裝置嘅 cookie,咁就可以攞到入面嘅身份認證資料,進而入侵受害目標嘅電腦裝置。
CERT 指出呢一個配置(漏洞)普遍存在於幾個 VPN 應用服務內,目前已確定受影響嘅包括有 Palo Alto Networks 嘅 GlobalProtect Agent、Pulse Secure 嘅 Connect Secure、F5 Networks,以及Cisco 嘅 AnyConnect。而 Palo Alto Networks 最抵讚,至今只有佢哋提供更新檔案,修補相關漏洞。
此漏洞極有可能喺其他 VPN 出現,大家要密切留意喇。