Vários aplicativos corporativos de VPN apresentam uma falha de segurança que permite que um invasor possa se infiltrar na rede interna de uma empresa. Isso é o que o Departamento de Segurança Interna dos Estados Unidos alertou depois que o Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA, sigla em inglês) publicou que vários aplicativos de VPN armazenaram de forma insegura cookies de autenticação e de sessão na memória e/ou arquivos de log, o que permite que um invasor ignore o processo de autenticação.

As redes privadas virtuais, mais conhecidas como VPN, sigla em inglês, são usadas para criar conexões seguras entre um dispositivo e uma rede na Internet. Nesse sentido, “se um invasor tiver acesso persistente a um endpoint do usuário de VPN ou exfiltrar o cookie usando outros métodos, ele poderá repetir a sessão e ignorar outros métodos de autenticação e ter acesso aos mesmos aplicativos que o usuário através de sua sessão VPN”, explica a nota de vulnerabilidade escrita por Madison Oliver, da Carnegie Mellon University.

Os aplicativos de VPN que apresentam esta falha de segurança são alguns com versões das soluções desenvolvidas pela Cisco, Palo Alto Networks, Pulse Secure e F5 Networks. Deve-se observar que cada um desses aplicativos é usado no nível corporativo para permitir que os funcionários acessem remotamente recursos hospedados na rede da empresa.

Como o CERT/CC explicou, provavelmente se trata de uma configuração genérica em aplicativos de VPN, portanto, outros aplicativos de VPN de diferentes provedores podem ser afetados por essa vulnerabilidade.

No caso da Palo Alto Networks, a empresa lançou um patch tanto para o Windows como para a versão do aplicativo para macOS. No caso da Pulse Secure, aconteceu a mesma coisa, já que a empresa lançou um patch para seus produtos Pulse Desktop Client e Network Connect, que podem ser baixados aqui.

No caso da Cisco, a empresa disse que todo o material armazenado na sessão pelas soluções Client e Clientless é destruído assim que a sessão é finalizada. Mesmo assim, eles documentaram as informações e a equipe de engenharia considerará o material para melhorias futuras no aplicativo de VPN Cisco Any Connect.

Por sua vez, a F5 Networks disse estar ciente do armazenamento na memória desde 2013 e tem uma lista de versões de sua solução que não são vulneráveis. Além disso, a empresa acrescenta que uma maneira de atenuar essa vulnerabilidade é usar o fator duplo de autenticação em vez da autenticação baseada em senha.