Προσοχή ! Bug σε υπηρεσίες VPN αφήνει ευάλωτες πολλές επιχειρήσεις λόγω μη κρυπτογραφημένων cookies

Ακόμα και η προσωρινή αποθήκευση των cookies σε μη κρυπτογραφημένη μορφή μπορεί να αποτελέσει ένα τεράστιο κενό ασφαλείας.

Τα VPN services είναι αρκετά διαδεδομένα τον τελευταίο καιρό και χρησιμοποιούνται τόσο σε ατομικό όσο και σε εταιρικό επίπεδο. Όταν όμως προκύπτουν bugs που θέτουν την ασφάλεια μιας επιχείρησης σε κίνδυνο τότε καλό θα ήταν να κρατάμε τις επιφυλάξεις μας πριν σκεφτούμε να τα θέσουμε σε λειτουργία.

Το συγκεκριμένο bug που επηρεάζει τα VPN από τη Cisco, την Palo Alto Networks και την Pulse Secure, επέτρεπαν σε hackers να εισχωρήσουν στο δίκτυο και να έχουν πρόσβαση στα cookies, τα οποία μετά μπορούν να χρησιμοποιηθούν για να αγνοηθεί η διαδικασία της σύνδεσης μέσω username και password σε ορισμένα sites. Σύμφωνα με το Computer Emergency Response Team (CERT/CC) τα cookies συνήθως δεν αποτελούν κίνδυνο καθώς τις περισσότερες φορές είναι κρυπτογραφημένα, αλλά στην προκειμένη περίπτωση βρισκόντουσαν αποθηκευμένα σε ευάλωτη μορφή στη μνήμη και σε log files των υπολογιστών.

Πολλές εταιρείες χρησιμοποιούν VPN με σκοπό να προστατευτούν από τέτοιους κινδύνους, οπότε η σοβαρότητα ενός τέτοιου bug είναι τεράστια. Αν για παράδειγμα ο υπολογιστής ενός εργαζόμενου μολυνθεί από κάποιο malware τότε ο hacker θα μπορεί να έχει πρόσβαση στα ακρυπτογράφητα cookies και ως αποτέλεσμα να εισχωρήσουν στο VPN θέτοντας το πρακτικά άχρηστο.

Αν και μόνο τρεις εφαρμογές είναι ευάλωτες προς το παρόν καλό θα ήταν να υπάρχει πάντα μια επιφύλαξη, οπότε αν χρησιμοποιείτε VPN καλό θα είναι να ελέγχετε συχνά για ενημερώσεις ασφαλείας. H Palo Alto Networks και η Pulse Secure έχουν ήδη επιδιορθώσει το πρόβλημα στις εφαρμογές τους. Η Cisco μετά από εκτενή έλεγχο δεν διαπίστωσε ότι το λογισμικό της είναι ευάλωτο στο συγκεκριμένο bug. Η VPN εφαρμογή της F5 Networks είχε εμφανίσει αντίστοιχα bug τα οποία έχουν διορθωθεί, αλλά η εταιρεία προτείνει την χρήση two-factor authentication.

Πηγή