Les chercheurs de Devcore ont découvert de nouvelles failles de sécurité découvertes dans trois des outils VPN d'entreprise les plus répandus. Elles permettraient aux attaquants de voler des informations confidentielles directement des réseaux des entreprises.
Orange Tsai et Meh Chang, de l'entreprise, ont découvert les failles de sécurité qui affectent les VPN d'entreprise de Palo Alto Networks, Fortinet et Pulse Secure.
Tandis que les consommateurs utilisent les VPN pour contourner les blocs de région et protéger leur confidentialité en ligne, les utilisateurs professionnels utilisent souvent les services pour accéder aux ressources du réseau de leur entreprise tout en travaillant à distance. En règle générale, les entreprises fournissent à leur personnel un nom d'utilisateur et un mot de passe ainsi qu'un code d'authentification à deux facteurs pour accéder à leurs réseaux à l'aide d'un VPN.
Cependant, selon Chang et Tsai, les failles découvertes pourraient permettre à un attaquant d'accéder au réseau d'une entreprise sans avoir besoin d'un nom d'utilisateur ou d'un mot de passe.
Sommaire
VPN SSL
En utilisant un réseau privé professionnel VPN SSL, les utilisateurs disposent d’un moyen pratique de se connecter aux réseaux d’entreprise en dehors du bureau, mais ils offrent également aux pirates un moyen facile d’infiltrer le réseau intranet de la société, selon Tsai, qui explique comment ils peuvent être utilisés de manière abusive dans un blog. , en disant:
«Les VPN SSL protègent les actifs de l'entreprise de l'exposition à Internet, mais que se passe-t-il si les VPN SSL eux-mêmes sont vulnérables? Ils sont exposés à Internet et on leur fait confiance pour protéger de manière fiable le seul moyen d'accéder à votre intranet. Une fois que le serveur VPN SSL est compromis, les attaquants peuvent infiltrer votre intranet et même prendre le contrôle de tous les utilisateurs se connectant au serveur SSL VPN! ”
Les chercheurs ont proposé des informations supplémentaires sur la faille de format qui affecte le portail GlobalProtect et les produits GlobalProtect Gateway de Palo Alto. La faille d'exécution de code à distance (indexée sous la référence CVE-2019-1579) existe dans la passerelle PAN SSL et pourrait permettre à des acteurs de menace non authentifiés d'exécuter à distance du code arbitraire sur des systèmes cibles s'ils étaient exploités.
Seules les anciennes versions du logiciel sont concernées par la vulnérabilité, mais Devcore a constaté que de nombreuses entreprises, y compris Uber, utilisent toujours le logiciel obsolète. Par exemple, les chercheurs ont découvert que 22 des serveurs d'Uber utilisaient encore une version vulnérable de GlobalProtect.
Palo Alto Networks a alerté ses clients sur ce problème dans un avis les incitant à mettre à jour leur logiciel avec la version la plus récente, tandis que Fortinet a mis à jour son micrologiciel pour remédier à cette vulnérabilité. De son côté, Pulse Secure a publié un correctif en avril pour résoudre le problème.
Via informatique
