VPN ook vaak onveilig, waarschuwt US-CERT

15 april 2019

Sessiecookies van sommige leveranciers staan onversleuteld in het pc-geheugen of in logfiles.

De Amerikaanse overheidsdienst CERT heeft een waarschuwing uitgegeven voor een aantal VPN-diensten. Kwaadwillenden kunnen via de onversleutelde cookie-informatie de VPN-sessie overnemen en al het dataverkeer dat daarover gaat, inzien.

De waarschuwing komt uit onderzoek van het US CERT-team aan de Carnegie Mellon universiteit. Het team ontdekte kwetsbaarheden in Palo Alto Networks GlobalProtect Agent 4.1.0 voor Windows en GlobalProtect Agent 4.1.10 en eerder voor macOS, maar ook versies van Pulse Secure Connect Secure ouder dan 8.1R14, 8.2, 8.3R6 en 9.0R2 en ook Cisco AnyConnect 4.7.x en eerder.

De onderzoekers hebben de gehanteerde procedures van zeven leveranciers onderzocht. Daarbij zijn er dus slechts drie - Check Point Software, LANCOM Systems en pfSense - die hun cookies op een veilige manier opslaan. Er zijn echter wel meer dan 200 leveranciers van VPN-technologie. Omdat de onderzoekers er vanuit gaan dat het gesignaleerde probleem volgt uit een generieke aanpak, vrezen zij dat het probleem veel groter is dan nu geconstateerd. Om de informatie te misbruiken moet de hacker wel precies weten waar te zoeken op de pc.

End-to-end-encryptie

Het doel van een VPN is een end-to-end-encryptie op te zetten tussen een pc en een VPN-server. Een VPN moet zo het gebruik van publieke (wifi)-netwerken veel veiliger maken doordat eventueel onderschept dataverkeer niet kan worden gelezen. Voor het opzetten van een VPN-verbinding worden cookies geplaatst op de pc die cruciale informatie bevatten over de versleuteling van de sessie. Het is de bedoeling dat de cookie-informatie zelf versleuteld is in het geheugen van de pc. Maar uit het onderzoek van Carnegie Mellon blijkt dat die versleuteling bij de genoemde diensten niet correct werkt. Daardoor is informatie uit het geheugen van de pc of uit de logfiles te halen waarmee de VPN-sessie kan worden gekaapt.

Palo Alto heeft inmiddels een patch uitgebracht die het probleem moet oplossen.

Meer informatie