Virtuele privénetwerken (VPN's) zijn ontworpen om verkeer tussen punten op internet te versleutelen. Als computergebruik zet het, ze breiden een privaat netwerk uit over een openbaar netwerk, "vaak gebruikt om medewerkers die op afstand werken toegang te geven tot bronnen op het bedrijfsnetwerk van hun organisatie."

We zullen, VPN's zijn deze week in het nieuws, maar in een beveiligingsopmerking ontdekten onderzoekers dat VPN-beveiligingsfouten een netwerk voor aanvallen kunnen openen.

Pentesten, beveiligingsadviesbureau Devcore deed de ontdekking die hen ertoe bracht hun blograpport te openen met ".SSL VPN's beschermen bedrijfsactiva tegen blootstelling aan internet, maar wat als SSL VPN's zelf kwetsbaar zijn?"

De Devcore-onderzoekers claimden beveiligingsfouten in drie VPN's die aanvallers in staat zouden kunnen stellen vertrouwelijke informatie van het bedrijfsnetwerk te stelen. Ze schreven over drie aanbieders, namelijk, Palo Alto-netwerken, Fortinet en Pulse Secure.

Ze zeiden dat "we praktische aanvallen onthullen die miljoenen doelen in gevaar kunnen brengen, waaronder techreuzen en vele marktleiders. Deze technieken en methodologieën worden gepubliceerd in de hoop dat het meer beveiligingsonderzoekers kan inspireren om out-of-the-box te denken."

Hun recente bericht is getiteld "Attacking SSL VPN—Part 1:PreAuth RCE on Palo Alto GlobalProtect, met Uber als Case Study!", waarin de bevindingen van Orange Tsai en Meh Chang worden besproken, de twee beveiligingsonderzoekers.

Ze hebben een missie:"In de afgelopen maanden hebben we zijn een nieuw onderzoek gestart naar de beveiliging van toonaangevende SSL VPN-producten. We zijn van plan onze resultaten over 3 artikelen te publiceren."

Met ingang van 17 juli ze plaatsten hun eerste artikel. Volgens de enquête van het team, Palo Alto GlobalProtect was vóór juli vorig jaar kwetsbaar. Er werd gezegd dat de bug heel eenvoudig was, een eenvoudige tekenreekskwetsbaarheid zonder authenticatie vereist.

(Dat is interessant omdat als Dev Kundaliya in computergebruik zei, "Gebruikelijk, bedrijven geven hun personeel een bedrijfsgebruikersnaam en -wachtwoord die moeten worden ingevoerd, samen met een tweefactorauthenticatiecode, voordat toegang tot het netwerk van het bedrijf kan worden verleend voor de VPN." Toch kan de fout een persoon in staat stellen om in een netwerk in te breken zonder gebruikersnaam/wachtwoord.)

Maar waarom noemden ze Uber in hun titel? Dat komt omdat ze wilden zien of grote bedrijven de kwetsbare GlobalProtect gebruikten, en ze zeiden dat ze Uber als een van hen hadden gevonden. Uber, volgens hun bevindingen, bezat ongeveer 22 servers die GlobalProtect over de hele wereld draaien.

Resultaat? Geen dutjes bij Uber. Ze reageerden snel en repareerden de kwetsbaarheid, maar gaven ook commentaar op hun eigen onderzoek. "Tijdens ons intern onderzoek we ontdekten dat de Palo Alto SSL VPN niet hetzelfde is als de primaire VPN die door de meerderheid van onze medewerkers wordt gebruikt."

Dacht je dat een ontdekking van VPN-fouten speciaal is voor deze drie? Nee, helemaal niet. Zoals aangegeven in computergebruik , "Het is niet de eerste keer dat beveiligingsfouten in VPN-software worden opgemerkt..."

Een artikel uit 2015 in computergebruik zei dat de meeste VPN-services last hadden van lekkage van IPv6-verkeer.

In mei van dit jaar, computergebruik 's Graeme Burton berichtte over waarschuwingen over VPN-services die worden gebruikt om gebruikers af te luisteren.

De fout bij het uitvoeren van de code op afstand, geïndexeerd als CVE-2019-1579 droeg deze beschrijving:

"Externe code-uitvoering in PAN-OS 7.1.18 en eerder, PAN-OS 8.0.11 en eerder, en PAN-OS 8.1.2 en eerder met GlobalProtect Portal of GlobalProtect Gateway Interface ingeschakeld kunnen een niet-geverifieerde externe aanvaller toestaan ​​om willekeurige code uit te voeren."

Het beveiligingslek treft alleen oudere versies van de software.

Palo Alto-netwerken, In de tussentijd, naar aanleiding van het rapport gehandeld. "Palo Alto Networks is op de hoogte van de gemelde kwetsbaarheid voor de uitvoering van externe code (RCE) in zijn GlobalProtect-portal en GlobalProtect Gateway-interfaceproducten. Het probleem is al aangepakt in eerdere onderhoudsreleases. (Ref:CVE-2019-1579)."

Pulse Secure zei dat ze in april een patch hebben uitgebracht, volgens computergebruik . TechRadar zei dat Fortinet zijn firmware heeft bijgewerkt om de kwetsbaarheid aan te pakken.

U kunt meer van hen verwachten op 7 augustus, waar hun werk is gepland als een briefing bij Black Hat.

© 2019 Wetenschap X Netwerk