Einige Business-VPN-Lösungen schlampen mit Session Cookies

Mehrere Business-Anwendungen zum Aufbauen von VPN-Verbindungen sind über Schwachstellen (CVE-2016-8201, CVE-2019-8201) angreifbar. Unter bestimmten Voraussetzungen könnten Angreifer Verbindungen kapern und so ganze Computer kompromittieren.

Unverschlüsselte Session Cookies

Die Ursache dafür ist, dass die VPN-Anwendungen Cisco AnyConnect, GlobalProtect Agent, Palo Alto Networks GlobalProtect Agent und Pulse Desktop Client and Network Connect Authentifizierungsinformationen oder Session Cookies unsicher im Speicher oder in Log-Dateien ablegen.

Hat ein Angriff Zugriff auf einen Computer, von dem eine mit einem verwundbaren Client aufgebaute VPN-Verbindung ausgeht, könnte er die unverschlüsselten Daten extrahieren und so als Man in the Middle Zugriff auf die Verbindung bekommen. Alternativ zum lokalen Zugriff müsste ein Angreifer Opfer dazu bringen, Malware zu installieren, die die Daten ausliest.

Davor warnt das CERT der Carnegie Mellon University in einem Beitrag. Dort listen sie auch die bedrohten Versionen der VPN-Clients auf. Bislang hat nur Cisco noch keine abgesicherten Ausgabe veröffentlicht. Die Sicherheitsforscher gehen davon aus, dass eventuell noch weitere VPN-Lösungen von der Sicherheitsproblematik betroffen sein könnten. (des)