Selon une alerte émanant du CERT Coordination Center (CERT/CC) de l’Université Carnegie Mellon, de nombreux clients VPN pour entreprise pourraient être vulnérables vis-à-vis d’une faille de sécurité potentiellement sérieuse, pouvant être utilisée pour obtenir un accès illégitime en rejouant la session d’un utilisateur.
La connexion à une passerelle VPN pour entreprise créée par une entité spécifique nécessite généralement une application dédiée conçue pour fonctionner avec cette dernière. Jusqu’à présent, le problème n’avait été confirmé que dans le cas d’applications de quatre éditeurs : Palo Alto, F5 Networks, Pulse Secure et Cisco, mais d’autres pourraient bien être concernés également.
Le problème réside dans le fait, étonnamment basique, que les applications stockent de manière non sécurisée des cookies de session et d’authentification en mémoire ou dans des fichiers log, les rendant ainsi vulnérables vis à vis d’une utilisation malveillante. Le CERT/CC a expliqué que :
Si un attaquant obtenait un accès persistant au niveau du système endpoint d’un utilisateur VPN ou exfiltrait le cookie à l’aide d’autres méthodes, il pourrait alors rejouer la session et contourner d’autres méthodes d’authentification. Un attaquant aurait alors accès aux mêmes applications que l’utilisateur via sa session VPN.
Ainsi, si cela devait se produire sur un réseau n’imposant aucune authentification supplémentaire, cela reviendrait à confier les privilèges d’un VPN pour entreprise à quiconque pouvant se procurer les données vulnérables.
La faiblesse se manifeste de deux manières : les cookies stockés de manière non sécurisée dans les fichiers logs et les cookies stockés de manière non sécurisée dans la mémoire. Les clients VPN concernés par ces deux faiblesses sont :
- Agent GlobalProtect 4.1.0 pour Windows de Palo Alto Networks.
- Agent GlobalProtect 4.1.10 et les versions antérieures pour macOS (CVE-2019-1573) de Palo Alto Networks.
- Pulse Secure Connect Secure avant la version 8.1R14, 8.2, 8.3R6 et 9.0R2.
- Une gamme de composants du client Edge F5, notamment BIG-IP APM, BIG-IP Edge Gateway et FirePass (CVE-2013-6024).
De plus, la version 4.7.x et les versions antérieures de AnyConnect de Cisco stockent les cookies de manière non sécurisée en mémoire. Cependant, l’alerte répertorie 237 éditeurs au total, dont trois seulement ne sont pas du tout affectés. Par conséquent :
Il est probable que cette configuration soit générique aux applications VPN additionnelles.
Cela devrait être considéré comme un avertissement avec des voyants rouges clignotants indiquant que beaucoup plus de clients VPN pourraient bien être concernés par les mêmes problèmes.
Mitigations ?
L’exploitation de cette faille de sécurité implique que l’attaquant utilise le même réseau que le VPN ciblé afin de mener cette attaque par répétition. Il n’est pas clair si une authentification supplémentaire constituerait une défense contre celle-ci.
Une défense qui devrait fonctionner est de vous déconnecter de vos sessions, invalidant ainsi les cookies stockés et les rendant inutiles pour quiconque chercherait à les voler.
Au-delà, les administrateurs doivent appliquer des correctifs quand ils sont disponibles. Dans le cas de Palo Alto Networks GlobalProtect, il s’agit de la version 4.1.1, tandis que Pulse Secure n’a pas encore réagi. Cisco a conseillé aux utilisateurs de toujours mettre fin à leurs sessions afin d’actualiser les cookies, avant d’ajouter :
Le stockage du cookie de session dans la mémoire du processus client, et dans le cas de sessions sans client au niveau du navigateur web pendant que les sessions sont actives, n’est pas considéré comme une situation sans risque.
F5 Networks a déclaré que le stockage non sécurisé des logs avait été corrigé en 2017 dans les versions 12.1.3 et 13.1.0 et dans toutes celles qui ont suivi. En ce qui concerne la mémoire de stockage :
F5 connait l’existence du stockage non sécurisé en mémoire depuis 2013 et ne l’a pas encore corrigé.
Les administrateurs devraient donc consulter la documentation en ligne de F5 à ce sujet.
Billet inspiré de Security weakness in popular VPN clients, sur Sophos nakedsecurity.