VS waarschuwt voor beveiligingsfouten in enterprise VPN-apps

Diverse enterprise VPN-apps zijn volgens de cybersecurity-afdeling van Homeland Security in Amerika kwetsbaar voor een beveiligingsfout waarmee een aanvaller op afstand in kan breken in het interne netwerk van een bedrijf.

De Cybersecurity and Infrastructure Security Agency van de Verenigde Staten heeft hier een waarschuwing over gepubliceerd, schrijft TechCrunch. VPN-apps van vier aanbieders – Cisco, Palo Alto Networks, Pulse Secure en F5 Networks – blijken kwetsbaar voor de fout.

Tokens

De vier apps slaan authenticatie tokens en sessie-cookies niet goed op op de computer van een gebruiker. Deze VPN-apps worden meestal uitgerold door de IT-werknemers van een bedrijf, zodat werknemers op afstand toegang kunnen krijgen tot middelen in het netwerk van een computer.

De VPN-apps genereren hiervoor tokens op basis van het wachtwoord van een gebruiker. Die tokens worden opgeslagen op de computer van die gebruiker, zodat hij of zij ingelogd blijft, zonder constant zijn wachtwoord opnieuw in te moeten voeren. Worden de tokens echter gestolen, dan kunnen deze toegang bieden tot het account van de gebruiker, zonder dat zijn wachtwoord hiervoor vereist is.

Mocht een hacker toegang hebben tot de computer, bijvoorbeeld via malware, dan kan diegene de tokens stelen en ze gebruiken om toegang te krijgen tot het netwerk van een computer, met daarbij hetzelfde toegangsniveau als de gebruiker. Daarbij krijgt de aanvaller ook toegang tot bedrijfs-apps, systemen en data.

Geen patches

Palo Alto Networks heeft inmiddels bevestigd dat zijn GlobalProtect-app kwetsbaar was. Het bedrijf heeft een patch uitgerold voor zijn Windows- en Mac-varianten. Cisco en Pulse Secure hebben nog geen patches uitgerold. F5 Networks zou al sinds 2013 op de hoogte zijn van de problemen met het opslaan van de tokens, maar adviseerde gebruikers om tweestapsverificatie uit te rollen, in plaats van een patch te releasen.

Mogelijk zijn honderden andere apps ook kwetsbaar voor de fout, maar hier moet nog verder op getest worden.