Организация US CERT опубликовало предупреждение о том, что ПО для построения виртуальных частных сетей (VPN) от Cisco Systems, Juniper и других поставщиков может сделать пользователей уязвимыми к широкому спектру сетевых атак.
Речь идёт про так называемые “clientless SSL VPN”, которые обеспечивают доступ ко внутренним сетям, почте и другим ресурсам посредством обычного браузера, и делают пользователей уязвимыми для атак, позволяющих просматривать пароли и следить за нажатиями клавиш. На данный момент уязвимыми точно являются VPN-комплексы Cisco, Juniper, SafeNet и Sonic Wall. Ситуация с оставшимися платформами пока неясна.
Но правда воспользоваться уязвимостью можно только в случаи тесной привязки вредоносного кода к определенному веб-сайту или домену. Поэтому вероятность того, что такой код будет доступен широкой публике, невелика.
Clientless SSL позволяя пользователям туннелировать доступ к интрасети, веб-почте и другим ресурсам через сайт, защищенный SSL-шифрованием. В ходе этого процесса сторонние гиперссылки и cookies конвертируются таким образом, чтобы их можно было использовать в VPN. Хакеры могут видоизменить контент так, что идентификаторы сессии, используемые для авторизации пользователей, возможно будет модифицировать или украсть.
“Убедив пользователя просмотреть специально созданную веб-страницу, удаленный хакер может получить маркеры VPN-сессии, а затем считать или модифицировать контент (включая cookies, скрипты и HTML-содержимое) любого сайта, доступ к которому был получен с помощью SSL VPN. Таким образом, ограничения Same Origin Policy могут быть сняты во всех браузерах”, – говорится в руководстве US CERT.
Данный метод, в частности, может быть использован для обхода доменных ограничений в зонах безопасности Internet Explorer и плагине NoScript для Firefox. US CERT предупреждает, что решения данной проблемы нет, а в ряде случаев и не может быть в принципе, поэтому всем пользователям SSL VPN рекомендовано связаться с поставщиками для подтверждения наличия или отсутствия бреши в конкретных конфигурациях.