2019.04.16

미 정부, 시스코∙팔로알토∙F5∙펄스 VPN 보안 버그 경고

| Network World
시스코, 팔로알토, F5, 펄스의 VPN 패키지가 토큰 및 쿠키를 부적절하게 보호할 수 있다는 주장이 제기됐다. 
 
ⓒGetty Images Bank

미국 국토안보부는 시스코, 팔로알토, F5, 펄스의 일부 VPN 패키지가 토큰과 쿠키를 부적절하게 보호하여 악의적인 행위자가 최종 사용자의 시스템을 침범하고 제어할 수 있다고 경고했다.

DHS의 CSI(Cybersecurity and Infrastructure Security Agency) 경고문은 카네기 멜런(Carnegie Mellon)의 CERT가 여러 VPN 애플리케이션이 인증 및/또는 세션 쿠키를 메모리나 로그 파일에 안전하지 않게 저장한다는 고지에서 비롯된 것이다.

CERT는 "공격자가 VPN 사용자의 엔드포인트에 계속해서 접근하거나 다른 방법을 사용하여 쿠키를 추출하는 경우 세션을 재생하고 다른 인증 방법을 무시할 수 있다"며 "공격자는 사용자가 VPN 세션을 통해 수행하는 것과 동일한 애플리케이션에 접근할 수 있다"고 전했다. 

CERT 경고에 따르면 다음 제품과 버전은 쿠키를 안전하지 않게 로그 파일에 저장한다.

• 윈도우용 팔로알토 네트웍스 글로벌프로텍트 에이전트(GlobalProtect Agent) 4.1.0, 글로벌프로텍트 에이전트 4.1.10, 맥OS0용 이전 버전 제품(CVE-2019-1573)
• 8.1R14, 8.2, 8.3R6, 9.0R2 이전의 펄스 시큐어 커넥트 시큐어(Secure Connect Secure) 

다음의 제품과 버전은 쿠키를 메모리에 안전하지 않게 저장한다.
• 윈도우용 팔로알토 네트웍스 글로벌프로텍트 에이전트(GlobalProtect Agent) 4.1.0, 글로벌프로텍트 에이전트 4.1.10, 맥OS0용 이전 버전 제품.
• 8.1R14, 8.2, 8.3R6, 9.0R2 이전의 펄스 시큐어 커넥트 시큐어
• 시스코 애니커넥트 4.7.x 및 이전 버전.

CERT는 팔로알토 네트웍스 글로벌프로텍트 버전 4.1.1이 이 취약점을 패치한다고 밝혔다.

F5는 CVE-2013-6024CVE-2017-6139 두 가지 취약점을 모두 알고 이에 대한 권고를 발표했다. CVE-2013-6024의 심각성은 낮으며 F5는 고객에게 완화 방법에 관한 지침을 제공했다. CVE-2017-6139는 BIG-IP 12.1.3, 13.1.0, 13.0.1에서 수정되었으며 고객은 이 버전 중 하나로 업그레이드하여 취약점을 제거할 수 있다. F5는 이 취약점이 악용됐다는 사실에 관해서는 보고받은 바가 없었다.

CERT는 시스코 애니커넥트 발표 당시 어떤 패치도 없었다고 말했다.

펄스는 CERT가 취약점과 관련하여 통보했다고 전했다. 이 취약점은 이전 버전의 펄스 시큐어 데스크탑(Secure Desktop)과 네트워크 커텍트(Network Connect) 클라이언트에 영향을 준다. 그러나 펄스 시큐어는 최신 펄스 데스크탑 클라이언트와 네트워크 커넥트 제품에서 이 취약점을 이미 해결했다. 펄스는 이를 공개하기 위해 관련 보안 지침 SA44114를 발표했다. ciokr@idg.co.kr
 



2019.04.16

미 정부, 시스코∙팔로알토∙F5∙펄스 VPN 보안 버그 경고

| Network World
시스코, 팔로알토, F5, 펄스의 VPN 패키지가 토큰 및 쿠키를 부적절하게 보호할 수 있다는 주장이 제기됐다. 
 
ⓒGetty Images Bank

미국 국토안보부는 시스코, 팔로알토, F5, 펄스의 일부 VPN 패키지가 토큰과 쿠키를 부적절하게 보호하여 악의적인 행위자가 최종 사용자의 시스템을 침범하고 제어할 수 있다고 경고했다.

DHS의 CSI(Cybersecurity and Infrastructure Security Agency) 경고문은 카네기 멜런(Carnegie Mellon)의 CERT가 여러 VPN 애플리케이션이 인증 및/또는 세션 쿠키를 메모리나 로그 파일에 안전하지 않게 저장한다는 고지에서 비롯된 것이다.

CERT는 "공격자가 VPN 사용자의 엔드포인트에 계속해서 접근하거나 다른 방법을 사용하여 쿠키를 추출하는 경우 세션을 재생하고 다른 인증 방법을 무시할 수 있다"며 "공격자는 사용자가 VPN 세션을 통해 수행하는 것과 동일한 애플리케이션에 접근할 수 있다"고 전했다. 

CERT 경고에 따르면 다음 제품과 버전은 쿠키를 안전하지 않게 로그 파일에 저장한다.

• 윈도우용 팔로알토 네트웍스 글로벌프로텍트 에이전트(GlobalProtect Agent) 4.1.0, 글로벌프로텍트 에이전트 4.1.10, 맥OS0용 이전 버전 제품(CVE-2019-1573)
• 8.1R14, 8.2, 8.3R6, 9.0R2 이전의 펄스 시큐어 커넥트 시큐어(Secure Connect Secure) 

다음의 제품과 버전은 쿠키를 메모리에 안전하지 않게 저장한다.
• 윈도우용 팔로알토 네트웍스 글로벌프로텍트 에이전트(GlobalProtect Agent) 4.1.0, 글로벌프로텍트 에이전트 4.1.10, 맥OS0용 이전 버전 제품.
• 8.1R14, 8.2, 8.3R6, 9.0R2 이전의 펄스 시큐어 커넥트 시큐어
• 시스코 애니커넥트 4.7.x 및 이전 버전.

CERT는 팔로알토 네트웍스 글로벌프로텍트 버전 4.1.1이 이 취약점을 패치한다고 밝혔다.

F5는 CVE-2013-6024CVE-2017-6139 두 가지 취약점을 모두 알고 이에 대한 권고를 발표했다. CVE-2013-6024의 심각성은 낮으며 F5는 고객에게 완화 방법에 관한 지침을 제공했다. CVE-2017-6139는 BIG-IP 12.1.3, 13.1.0, 13.0.1에서 수정되었으며 고객은 이 버전 중 하나로 업그레이드하여 취약점을 제거할 수 있다. F5는 이 취약점이 악용됐다는 사실에 관해서는 보고받은 바가 없었다.

CERT는 시스코 애니커넥트 발표 당시 어떤 패치도 없었다고 말했다.

펄스는 CERT가 취약점과 관련하여 통보했다고 전했다. 이 취약점은 이전 버전의 펄스 시큐어 데스크탑(Secure Desktop)과 네트워크 커텍트(Network Connect) 클라이언트에 영향을 준다. 그러나 펄스 시큐어는 최신 펄스 데스크탑 클라이언트와 네트워크 커넥트 제품에서 이 취약점을 이미 해결했다. 펄스는 이를 공개하기 위해 관련 보안 지침 SA44114를 발표했다. ciokr@idg.co.kr
 

X