`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Проблемы с защитой обнаружены в VPN-клиентах от ведущих провайдеров

+22
голоса

Проблемы с защитой обнаружены в VPN-клиентах от ведущих провайдеров

По меньшей мере четыре корпоративных VPN-приложения — от Cisco, F5 Networks, Palo Alto Networks и Pulse Secure — содержат недоработки, угрожающие безопасности пользователей.

Аналитик Координационного центра CERT (CERT/CC) университета Карнеги Меллона, Мэдисон Оливер (Madison Oliver), в опубликованном предупреждении сообщил, что всё четыре программы записывают сессионные куки в незашифрованном виде в компьютерную память или в файлах журналов — на диск.

Злоумышленник, проникший в компьютер, может извлечь эту информацию и использовать её на другом устройстве для возобновления сессии VPN без прохождения аутентификации. Это предоставит ему прямой и неограниченный доступ к внутренней сети предприятия, к порталам интранет и прочим ответственным ресурсам.

Palo Alto Networks уже подготовила обновление для GlobalProtect Agent 4.1.0 (Windows/macOS), устраняющее обе вышеуказанные проблемы. F5 Networks заявила, что знает об этой опасности с 2013 г., в связи с чем рекомендует клиентам использовать одноразовые пароли и двухфакторную аутентификацию. В ПО F5 Networks BIG-IP патч, исключающий запись на диск сессионных куки, был установлен в 2017 г.

Cisco и Pulse Secure пока не подтвердили наличие дыр в защите своих VPN AnyConnect и Connect Secure. Эксперты CERT/СС кроме того предполагают, что уязвимыми могут оказаться десятки если не сотни других VPN-приложений.

«Вполне вероятно, что эта конфигурация является типичной для дополнительных приложений VPN», — отмечает Оливер, заявляя о необходимости проверки программ всех 240 провайдеров корпоративных сервисов VPN, отслеживаемых CERT/CC.

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT