Múltiples aplicaciones VPN para empresas presentan un fallo de seguridad que permitiría a un atacante infiltrarse en la red interna de una compañía. Así lo advirtió el Departamento de Seguridad Nacional de los Estados Unidos luego de que el Centro Nacional de Ciberseguridad e Integración de las Comunicaciones (CISA, por sus siglas en inglés) publicara que varias aplicaciones VPN almacenaran de manera insegura cookies de autenticación y de sesión en la memoria y/o en archivos log, lo cual permitiría a un actor malicioso evadir el proceso de autenticación.

Las redes privadas virtuales, más conocidas como VPN, por sus siglas en inglés, son utilizadas para crear conexiones seguras entre un dispositivo y una red en Internet. En este sentido, “si un atacante tiene acceso de manera persistente al usuario VPN de un endpoint o exfiltra la cookie utilizando algún otro método, pueden replicar la sesión y evadir otros métodos de autenticación, por lo que el atacante tendría acceso a la misma aplicación que el usuario a través de su sesión VPN”, escribió en el sitio sobre notas de vulnerabilidades de la Universidad Carnegie Mellon.

Las aplicaciones VPN que presentan este fallo de seguridad son algunas versiones de las soluciones desarrolladas por Cisco, Palo Alto Networks, Pulse Secure y F5 Networks. Cabe destacar que cada una de estas apps son utilizadas a nivel empresarial para permitir que trabajadores puedan acceder de manera remota a recursos alojados en la red de la compañía.

Según explicó el CERT/CC, probablemente se trate de una configuración genérica en aplicaciones VPN, por lo que otras aplicaciones VPN de distintos proveedores podrían verse afectadas por esta vulnerabilidad.

En el caso de Palo Alto Networks, la compañía lanzó un parche tanto para Windows como para la versión de la app para macOS. En el caso de Pulse Secure sucedió lo mismo, ya que la compañía lanzó un parche para sus productos Pulse Desktop Client y Network Connect, que pueden descargarse aquí.

En el caso de Cisco, la compañía dijo que todo el material almacenado en la sesión por las soluciones Client y Clientless es destruido una vez que la sesión finaliza. Aun así, han documentado la información y el equipo de ingenieros tendrá en cuenta el material para futuras mejoras en la app VPN Cisco Any Connect.

Por su parte, F5 Networks dijo estar al tanto del almacenamiento en memoria desde 2013 y cuenta con un listado de versiones de su solución que no son vulnerables. Además, añade que una forma de mitigar esta vulnerabilidad es utilizar el doble factor de autenticación en lugar de autenticación basada en contraseña.