حذرت وكالة الأمن السيبراني، وأمن البنية التحتية في وزارة الأمن الداخلي الأمريكية DHS، ومركز التنسيق CERT من احتواء العديد من تطبيقات الشبكات الخاصة الافتراضية VPN للمؤسسات، على أخطاء أمنية، قد تسمح للمهاجمين باختراق الشبكة الداخلية للشركة عن بعد.
ومن المفترض أن تساعد تطبيقات VPN العاملين عن بعدُ في تسجيل الدخول بأمان إلى خوادم شركاتهم، لكن نقاط الضعف الحرجة في التطبيقات التي تنتجها أربع شركات على الأقل، قد تترك الباب الرقمي مفتوحًا على مصراعيه أمام المتسللين، لسرقة أسرار الشركات.
وتؤثر المشكلة على برامج VPN المنتجة من قبل شركات سيسكو Cisco، وبالو ألتو نتوركس Palo Alto Networks، و Pulse Secure، و F5 Networks، وذلك وفقًا لنصيحة أمنية من مركز التنسيق CERT.
وتخزن التطبيقات المصممة من قبل هذه الشركات الرموز المميزة للمصادقة، وملفات تعريف ارتباط الجلسة على حاسب المستخدم، بشكل غير صحيح.
يذكر أن هذه التطبيقات ليست تطبيقات VPN موجهة للمستهلكين التقليديين، ومستخدمة لحماية الخصوصية، بل إنها تطبيقات VPN للمؤسسات، التي يتم نشرها عادة بواسطة موظفي تكنولوجيا المعلومات في الشركة؛ للسماح للعاملين عن بعدٍ بالوصول إلى الموارد على شبكة الشركة.
موضوعات ذات صلة بما تقرأ الآن:
وتولد هذه التطبيقات رموزًا مميزة من كلمات مرور المستخدمين، وتخزنها ضمن ملفات تعريف الارتباط على أجهزة الحاسب الخاصة بالمستخدمين؛ للحفاظ على تسجيل الدخول، دون الحاجة إلى إعادة إدخال كلمة المرور في كل مرة.
وتسمح هذه الملفات للمهاجم، في حالة السرقة، بالوصول إلى حساب المستخدم، دون الحاجة إلى كلمة المرور، وينبغي تشفير ملفات تعريف الارتباط هذه، لكن تطبيقات VPN المتأثرة تخزن البيانات بشكل غير مشفَّر داخل جهاز الحاسب.
ويمكن للمهاجم سرقة تلك الرموز من خلال الوصول إلى حاسب المستخدم، واستخدامها للوصول إلى شبكة الشركة، بمستوى وصول المستخدم نفسه، بما في ذلك الوصول إلى تطبيقات وأنظمة وبيانات الشركة، مثل: البريد الإلكتروني، والأدوات الداخلية.
وأكدت شركة بالو ألتو نتوركس أن تطبيقها Palo Alto Networks GlobalProtect Agent كان عرضة للخطر، لكنها أصدرت تصحيحًا لكل من عملاء ويندوز وماك، كما أصدرت Pulse Secure تصحيحًا للخطأ لتطبيق Pule Secure Desktop.
وعارضت شركة سيسكو التحذير الأمني، وقالت: “حققت سيسكو Cisco في هذه المشكلة، وتوصلت إلى أن تطبيق Cisco AnyConnect غير قابل للتأثر بالسلوك الموضح في تحذير مركز التنسيق CERT”.
وتشير المعلومات إلى امتلاك شركة F5 Networks معلومات عن مشكلة التخزين منذ عام 2013 على الأقل، لكنها نصحت المستخدمين باستعمال المصادقة الثنائية، بدلاً من إصدار تصحيح.
وحذر مركز التنسيق CERT من أن المئات من التطبيقات الأخرى قد تتأثر، لكن الأمر يتطلب إجراء المزيد من الاختبارات.