Alcuni client VPN sono vulnerabili: a scoprirlo sono stati i ricercatori del National Defense ISAC Remote Access Working Group che finora hanno riscontrato il bug in prodotti VPN aziendali di quattro società: Cisco Systems Inc., F5 Networks Inc., Palo Alto Networks Inc. e Pulse Secure LLCI.
In particolare, la vulnerabilità è di tipo Missing Encryption of Sensitive Data (CWE-311) e potrebbe consentire ad un utente malintenzionato di bypassare il sistema di autenticazione per l’accesso alla rete aziendale.
Secondo gli stessi ricercatori, il problema di sicurezza potrebbe interessare anche altri prodotti VPN.
Indice degli argomenti
VPN vulnerabili: i dettagli tecnici
A quanto si legge nel bollettino di sicurezza diramato dal CERT/CC (il centro di divulgazione delle vulnerabilità) della Carnegie Mellon University, la vulnerabilità risiede nel fatto che i token di autenticazione e i cookie di sessione vengono memorizzati in chiaro sui computer degli utenti, in memoria o nei file di log.
Tra le varie impostazioni predefinite, i software VPN generano i token e i cookie per consentire ai dipendenti di utilizzare le applicazioni aziendali senza dover inserire la propria password ad ogni accesso o per gestire i dati creati durante le sessioni di navigazione.
Si tratta, ovviamente, di un’operazione lecita che non creerebbe alcun problema se non fosse che questi dati vengono memorizzati in chiaro. L’assenza di un qualsiasi algoritmo di crittografia potrebbe permettere ad un eventuale attaccante di esfiltrare i token di autenticazione per falsificare la sessione VPN della vittima.
La vulnerabilità potrebbe quindi trasformare le connessioni VPN in un canale per violare le reti aziendali attraverso la semplice compromissione di un singolo dispositivo utilizzato dai dipendenti.
Ricordiamo, infatti, che le VPN vengono utilizzate per creare una connessione sicura con un’altra rete su Internet creando un tunnel crittografato tra il punto A e il punto B (ad esempio, due postazioni di rete dislocate in differenti sedi aziendali). Se un aggressore riesce ad avere accesso persistente all’endpoint di un utente VPN o esfiltra il cookie utilizzando altri metodi, allora potrebbe riprodurre la sessione e bypassare altri metodi di autenticazione.
In questo modo, riuscirebbe a violare il perimetro di sicurezza aziendale e ottenere pieno accesso non solo alle stesse applicazioni che l’utente utilizza attraverso la sua sessione VPN, ma anche ai preziosi asset produttivi e ad una mole enorme di dati riservati.
Ecco quali sono le VPN vulnerabili
Al momento, la vulnerabilità è stata classificata di media gravità in quanto, per essere sfruttata, è necessario che un aggressore riesca comunque a compromettere il computer dell’utente prima dello spoofing della sessione VPN.
I software VPN interessati dalla vulnerabilità in quanto memorizzano i cookie in maniera non sicura nei file di log sono i seguenti:
- Palo Alto Networs GlobalProtect Agent 4.1.0 per Windows
- Palo Alto Networs GlobalProtect Agent 4.1.10 e precedenti per macOS
- Pulse Secure Connect Secure precedenti a 8.1R14, 8.2, 8.3R6 e 9.0R2
Quelli vulnerabili perché memorizzano i cookie in maniera non sicura in memoria sono invece i seguenti:
- Palo Alto Networs GlobalProtect Agent 4.1.0 per Windows
- Palo Alto Networs GlobalProtect Agent 4.1.10 e precedenti per macOS
- Pulse Secure Connect Secure precedenti a 8.1R14, 8.2, 8.3R6 e 9.0R2
- Cisco AnyConnect 4.7.x e precedenti
Vulnerabilità delle VPN: i consigli per proteggersi
La scoperta della vulnerabilità nei client VPN conferma che la sicurezza informatica al 100% non esiste. È questa la constatazione di Andrea Muzzi, Technical Manager di F-Secure, secondo cui “la vulnerabilità all’interno delle nostre applicazioni è sempre dietro l’angolo e, ahimè, non tutti hanno la possibilità di avere nel proprio radar le eventuali vulnerabilità dei propri dispositivi. Adesso arriva la notizia che a cadere sotto questa scure sono state quattro soluzioni di VPN. Non stiamo parlando di applicazioni gratuite, ma bensì di noti vendor di sicurezza. E quindi?”
“Il consiglio – continua Muzzi – di non optare per software gratuiti è sempre valido, soprattutto in questo caso. Essendo i prodotti in questione soluzioni di vendor riconosciuti in ambito security, alcuni di loro tempestivamente hanno provveduto a rilasciare degli aggiornamenti risolutivi”.
“Come suggerimento consiglio di utilizzare sempre una VPN, soprattutto se si stanno gestendo dati sensibili. Optate per una soluzione che utilizzi i cookie in maniera sicura e se vogliamo essere ancora più attenti sfruttiamo la “navigazione privata” che ormai ci viene offerta da tutti i più noti browser. Una volta che chiuderemo la pagina di navigazione, il browser provvederà a cancellare automaticamente non solo il link alla pagina visitata ma anche tutti i dati inseriti durante la nostra navigazione”.
Fabrizio Croce, Area Director South Europe di WatchGuard, ci suggerisce invece un’analisi tecnica di quanto accaduto. “Questa vulnerabilità delle VPN consente ad un potenziale attaccante di estrarre dalla cache di autenticazione i token della VPN stessa, memorizzati in chiaro, ed intraprendere un potenziale attacco di tipo man in the middle”.
Secondo l’analista “si ritorna ad un problema di base, usabilità contro sicurezza. Una metodologia creata per rendere la fruizione di un servizio più semplice potrebbe ritorcersi contro di noi. Tutti i sistemi che richiedono una qualsivoglia autenticazione dovrebbero esser rafforzati con tecnologie più efficaci e recenti: una di queste è certamente la MFA (multi factor authentication) applicata alle VPN”.
Al momento, sono disponibili aggiornamenti risolutivi solo per i prodotti Palo Alto Networks GlobalProtect Agent 4.1.1.1 e successivi per Windows e GlobalProtect Agent 4.1.11 e successivi per macOS.
in attesa che anche tutti gli altri produttori rilascino le patch per le VPN vulnerabili, è opportuno adottare un modello di sicurezza “a fiducia zero” per proteggere il perimetro cyber aziendale e mettere in sicurezza i dati riservati mediante l’utilizzo di potenti algoritmi crittografici.
Come già suggerito dai nostri analisti, inoltre, sarebbe opportuno adottare sistemi di autenticazione a due fattori per connettersi alla VPN aziendale. In questo modo, anche se un attaccante riuscisse a clonare la sessione dell’utente, non sarebbe comunque in grado di accedere alle risorse di rete dell’azienda. E ricordarsi sempre di attivare la navigazione privata o anonima sul browser.