A vulnerabilidade que foi reportada em várias aplicações de VPN para uso empresarial permitia que hackers conseguissem evitar a autenticação e aceder à conta de um utilizador sem necessidade de password
Múltiplas aplicações de VPN para empresas apresentam uma falha de segurança que permite a um hacker infiltrar-se na rede interna de uma empresa. O alerta veio do Departamento de Segurança Nacional dos Estados Unidos, assim que o Centro Nacional de Cibersegurança e Integração das Comunicações (CISA) publicou que várias aplicações VPN armazenaram de forma insegura cookies de autenticação e de sessão na memória e/ou arquivos log, que permitem a um hacker evitar o processo de autenticação.
Nas redes privadas virtuais, mais conhecidas como VPN, são criadas ligações seguras entre dispositivos e rede na Internet. Neste sentido, “se um hacker através da persistência consegue ter acesso ao utilizador VPN de um endpoint ou exfiltra a cookie utilizando outro método, pode replicar a sessão e escapar de outros métodos de autenticação, assim terá acesso à mesma aplicação que o utilizador da rede através da sua sessão VPN”, refere o site sobre as notas de vulnerabilidades da Universidade Carnegie Mellon.
As aplicações VPN que apresentam esta falha de segurança são algumas versões das soluções desenvolvidas pela Cisco, Palo Alto Networks, Pulse Secure e F5 Networks. Cabe salientar que cada uma destas apps são utilizadas a nível empresarial para permitir que trabalhadores possam aceder remotamente a recursos alojados na rede da empresa.
Como referiu o CERT/CC, provavelmente trata-se de uma configuração genérica nas aplicações VPN, pelo que outras aplicações de VPN de outros fornecedores podem também ser afetadas por esta vulnerabilidade.
No caso da Paalo Alto Networks, a empresa lançou um patch tanto para Windows como para a versão da app para macOS. A Pulse Secure fez o mesmo, lançou um patch para os seus produtos Pulse Desktop Client e Network Connect, que pode ser descarregado aqui.
Já a Cisco refere que todo o material armazenado na sessão pelas soluções Client e Clientless é destruído uma vez que a sessão finalize. Ainda assim, foi documentada a informação e a equipa de engenheiros terá em consideração a mesma para futuras melhorias na app VPN Cisco Any Connect.
Finalmente, a F5 Networks disse estar ciente do armazenamento em memória desde 2013 e conta com uma lista de versões da sua solução que não são vulneráveis. Para além disso, acrescenta ainda que uma forma de mitigar esta vulnerabilidade é utilizar o duplo fator de autenticação em vez da autenticação baseada apenas na password.
