Attenzione ! Un bug sui servizi VPN rende molte aziende vulnerabili a causa di cookie non crittografati

Anche il deposito temporaneo di Cookies in forma non crittografata può essere un enorme lacuna di sicurezza.

Τα Servizi VPN sono abbastanza comuni ultimamente e vengono utilizzati sia a livello individuale che aziendale. Ma quando sorgono bug che mettono in pericolo la sicurezza di un'azienda, allora sarebbe bene mantenere le nostre riserve prima di pensare a metterli in funzione.

Essa bug specifico che colpisce VPN da Cisco, The Palo Alto Networks e Pulse Secure, ha consentito agli hacker di penetrare nella rete e di accedere ai cookie, che possono quindi essere utilizzati per ignorare il processo di accesso tramite nome utente e password su determinati siti. In accordo con Team di risposta alle emergenze informatiche (CERT/CC) il Cookies di solito non rappresentano un rischio in quanto sono molto spesso crittografati, ma in questo caso sono stati archiviati in una forma vulnerabile nella memoria e nei file di registro dei computer.

Molte aziende usano VPN per proteggersi da tali pericoli, quindi la gravità di un tale bug è enorme. Ad esempio, se il computer di un dipendente è infetto da malware, l'hacker sarà in grado di accedere alla crittografia Cookies e di conseguenza penetrare in VPN rendendolo praticamente inutile.

Sebbene solo tre applicazioni siano vulnerabili al momento, dovrebbe essere sempre una precauzione, quindi se stai utilizzando una VPN è una buona idea controllare frequentemente gli aggiornamenti di sicurezza. h Palo Alto Networks e Pulse Secure hanno già risolto il problema nelle loro applicazioni. Cisco, dopo numerosi test, non ha riscontrato che il suo software è vulnerabile a questo bug. La sua applicazione VPN F5 Networks aveva bug corrispondenti che sono stati corretti, ma l'azienda suggerisce di usarlo autenticazione a due fattori.

fonte