Bel-Com

D'après le Département américain de la sécurité intérieure (DHS), des packs VPN de Cisco, Palo Alto, F5 et Pulse présentent des défauts de sécurisation des tokens et des cookies. Des correctifs sont en cours de déploiement.

Le Département américain de la sécurité intérieure a émis un avis de sécurité pour alerter sur un possible défaut de sécurisation des tokens et des cookies de certains packs logiciels VPN de Cisco, Palo Alto, F5 et Pusle. Ces bogues pourraient permettre à des acteurs malveillants d'envahir et de prendre le contrôle du système de l'utilisateur final. L'avertissement de l'agence Cybersecurity and Infrastructure Security Agency (CISA) du Departement of Homeland Security (DHS) arrive après un avis du Computer Emergency Response Team (CERT) de la Carnegie Mellon University selon lequel de multiples applications VPN stockent les cookies d'authentification et/ou de session dans une mémoire et/ou dans des fichiers logs non sécurisés. « Si un attaquant a un accès persistant au terminal d'un utilisateur VPN ou exfiltre le cookie en utilisant d'autres méthodes, il peut reproduire la session et contourner d'autres méthodes d'authentification », écrit ainsi le CERT. « Un attaquant pourrait alors avoir accès aux mêmes applications que l'utilisateur à travers sa session VPN ».