原標題:免客戶端SSL VPN產(chǎn)品暴露漏洞可能導致企業(yè)用戶
創(chuàng)新互聯(lián)服務項目包括站前網(wǎng)站建設(shè)����、站前網(wǎng)站制作��、站前網(wǎng)頁制作以及站前網(wǎng)絡營銷策劃等。多年來�����,我們專注于互聯(lián)網(wǎng)行業(yè)�,利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗����、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)�����、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案�,站前網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前�����,我們服務的客戶以成都為中心已經(jīng)輻射到站前省份的部分城市����,未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任!
來自美國計算機應急響應組織(USCERT)的警告顯示����,多家供應商的免客戶端SSLVPN產(chǎn)品都存在漏洞�����,可能破壞網(wǎng)絡瀏覽器的基本安全機制�。
至少在2006年該安全漏洞就被發(fā)現(xiàn)�����,可能導致攻擊者利用這些設(shè)備來繞過身份認證或進行其它類型的網(wǎng)絡攻擊��。瞻博網(wǎng)絡�、思科系統(tǒng)、 SonicWall和SafeNet公司的免客戶端VPN產(chǎn)品都被證實存在此漏洞����。
簡單得說:
只要說服用戶訪問一個特制網(wǎng)頁,遠程攻擊者就能夠不分地域地通過免客戶端SSLVPN竊取到VPN會話令牌�、讀取或修改里面的信息(包括緩存 cookies、腳本或超文本內(nèi)容)����。這將致使所有網(wǎng)絡瀏覽器上統(tǒng)一的原始策略管制失效。舉例來說,這一方式可以讓攻擊者捕捉到受害者與網(wǎng)頁進行數(shù)據(jù)交換時的按鍵記錄��。因為所有的內(nèi)容都運行在網(wǎng)絡VPN域的特權(quán)級別����。包括例如IE安全區(qū)以及火狐瀏覽器的NoScript插件在內(nèi)的一些基于域內(nèi)容進行管制的安全機制�,將都有可能被黑客繞過。
免客戶端VPN產(chǎn)品提供了基于瀏覽器訪問企業(yè)內(nèi)部網(wǎng)的功能���,但根據(jù)來自US-CERT的警告����,它們破壞了網(wǎng)絡瀏覽器的基本安全機制��,可能導致某些活動內(nèi)容(JavaScript之類)連接其它網(wǎng)站并更改數(shù)據(jù)��。
警告提示到:“很多免客戶端SSLVPN產(chǎn)品從不同的網(wǎng)站獲取內(nèi)容���,并通過SSLVPN連接進行提交����,有效地繞過瀏覽器對相同來源的限制�。”
在攻擊中�,惡意黑客可以創(chuàng)建一個網(wǎng)頁��,利用客戶端代碼(document.cookie)這種方式
制造混淆以回避網(wǎng)絡VPN的重寫�,接下來返回頁面中的客戶端代碼項目就可以對網(wǎng)絡VPN域中所有用戶的緩存cookies進行編輯���。
US-CERT認為典型的客戶端代碼可以包括網(wǎng)絡VPN會話IDcookie本身以及所有需要通過網(wǎng)絡VPN回應的緩存cookies��?��!肮粽呖梢岳眠@些cookies來劫持用戶的VPN會話,以及需要通過網(wǎng)絡VPN對會話確認cookie進行回應的其他所有會話���?��!?/p>
此外,攻擊者可以建立一個包含兩個框架的頁面:一個框架是隱藏的�,而顯示框架包含是的合法內(nèi)部網(wǎng)站的頁面。US-CERT進一步指出����,隱藏的框架可以記錄所有的按鍵信息,在合法框架提交所有信息的時間�����,利用XMLHttpRequest參數(shù)將按鍵信息傳送到攻擊者的站點,由VPN網(wǎng)絡語法重寫�。
該組織聲稱,沒有解決這個問題而帶來更大的問題是���,取決于它們的具體配置和網(wǎng)絡中的位置,這些設(shè)備可能無法安全運行����。
IT管理員應考慮以下變通的辦法:
? 對URL網(wǎng)址重寫成受信域的情況進行限制
如果VPN服務器支持的話,URL網(wǎng)址重寫操作只能針對受信任的內(nèi)部網(wǎng)站�。所有其他網(wǎng)站和網(wǎng)域不應該被容許通過VPN服務器。
由于攻擊者只需要說服用戶通過VPN瀏覽訪問特定網(wǎng)頁就可以利用此漏洞��,這種解決辦法可能是不那么有效�,特別是在有大量的主機或者域可以通過 VPN服務器進行訪問的時間。在作出決定��,什么樣的網(wǎng)站才能容許使用VPN服務器進行訪問的時間�,最重要的是要記住,所有容許訪問的網(wǎng)站應該符合網(wǎng)絡瀏覽器在安全方面的要求�����。
? 限制VPN服務器網(wǎng)絡對信任域的連接
也許還可以對VPN設(shè)備進行配置,只容許訪問特定的網(wǎng)絡域名�。這一限制也可以通過使用防火墻規(guī)則來實現(xiàn)。
? 禁用URL網(wǎng)址隱藏功能
這樣的話��,就可以防止隱藏目標頁網(wǎng)址對用戶造成混淆�。使用了該功能,攻擊者就無法隱瞞他們發(fā)送的任何鏈接目標頁面���。舉例來說���,https:// /attack-site.com 與https:/ / / 778928801的區(qū)別就很容易被發(fā)現(xiàn)?
當前題目:思科、Juniper等免客戶端SSLVPN均含漏洞
轉(zhuǎn)載注明:
http://uogjgqi.cn/article/djjchce.html
