De lange en leerzame lijst van lekke corporate VPNs

Het zal de ISP Today lezer niet zijn ontgaan dat er vlak voor het weekend een grote CVE bom is geëxplodeerd. CERT Coordination Center van de Carnegie Mellon University (zie foto) heeft ontdekt dat er bij meerdere bedrijfs VPNs cookies fout worden opgeslagen. Voor de Amerikaanse overheid (DHS) is dat reden geweest aan de bel te trekken. De pers dook erop en zo werd het nieuws bekend.

In VU#192371 staat beschreven dat “Multiple Virtual Private Network (VPN) applications store the authentication and/or session cookies insecurely in memory and/or log files.” Cookies die vrij kunnen worden uitgelezen kent iedereen. Cookies die inlog of registraties gegevens bevatten wil je natuurlijk afschermen. Technisch gezien mag dat geen probleem zijn, toch stelt het CERT team van de CMU vast dat hier het nodige fout gaat. Ze hebben een handvol zakelijke VPNs onderzocht (wat trouwens als een omvangrijke en interessante studie opdracht klinkt). In vier gevallen bleken de cookies niet encrypted te zijn en door onbevoegden te kunnen worden uitgelezen.

Dat de bad guys [M/V] dan wel al op enige wijze toegang tot de logfiles moeten hebben wordt hier nog even expliciet opgemerkt. Niet dat daardoor de lat extreem hoog wordt gelegd, het geeft wel de context aan waarin deze fout gevaarlijk kan worden en tegelijk waarom de bad guys toegang tot een netwerk willen krijgen (bij ASML hebben ze vast wel een mening over, ook al zal die niet publiekelijk worden gedeeld).

De vier fabrikanten hebben inmiddels gereageerd op een manier die bekend voor komt: de een ontkent het, een ander zegt het allang gefixed te hebben. De persberichten van CMU en de DHS meldingen sluiten de zaak af met de opmerking dat van 200+ andere VPN producenten nog niet bekend is of daar dezelfde beveiligingsfout aanwezig is.

Die laatste regel is daarmee de meest interessante van de hele melding. In het bijzonder het aantal. 200+ verschillende VPN’s bestemd voor de zakelijke markt. Het gebeurt niet vaak dat goed inzichtelijk wordt gemaakt hoe groot het aanbod van bepaalde IT oplossingen wel niet is. De lijst van CMU is daarmee interessanter dan een bezoek aan de CEBIT Hannover Messe of andere globaal event.

De ISP Today lezer die de 200+ merken wel eens wil zien kan daarvoor deze link raadplegen. We vermoeden overigens dat het nalopen van de eigen security op dit punt en het informeren van de klanten een hogere prioriteit heeft.

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.