+ 886-2-2751-5668
name@080.net
登入
免費註冊
忘記密碼
全球網址域名註冊管理中心
查詢
Home
網址註冊
主機租用
網站製作
資安服務
登入
免費註冊
忘記密碼
Home
網址註冊
國際網址
台灣網址
中國網址
New.頂級域名
亞洲網址
歐洲網址
美洲網址
非洲網址
大洋洲網址
國家.COM
其他網址
中文域名
網址續約
網址轉入
主機租用
VPS雲端主機
SSD雲端主機
虛擬經銷主機
企業郵局
虛擬主機
實體主機
網站製作
EZ Web管理系統
EZ Page 一頁式網站
資安&eSIM
SSL 憑證
WHOIS加密
即時監控服務
eSIM
分類
網路技術相關
優惠活動
網址知識
網址新聞
服務新增改進
特色服務
name080新聞
首頁
/
name080新聞
/
多款企業等級的VPN應用允許駭客繞過身分認證
多款企業等級的VPN應用允許駭客繞過身分認證
發佈於
2019年 04月 24日
美國電腦網路危機處理暨協調中心(CERT/CC)指出,有多家業者所開發的虛擬私人網路(Virtual Private Network,VPN)含有安全漏洞,將允許駭客繞過身分認證機制,存取使用者的應用服務,被點名的業者與產品包括Palo Alto Networks GlobalProtect Agent、Pulse Secure Connect Secure、思科的AnyConnect,以及F5 Networks。
有別於一般消費者所使用的VPN服務是為了藏匿自己的足跡並保障隱私,企業採用VPN服務通常是為了方便遠端員工存取企業網路中的資源。
而美國國防部資訊分享與分析中心(Information Sharing and Analysis Center,ISAC)的遠端存取工作小組,則發現了編號為CVE-2019-1573的安全漏洞,該漏洞的存在是因為它沒有加密存放在記憶體或紀錄檔案中的認證資訊或期間Cookie,假設駭客得以存取VPN用戶的終端裝置或利用其它方法取得Cookie,就能重播此一期間並繞過其它身分認證機制,進而存取必須透過VPN才能使用的應用。
目前已確定此一漏洞影響了Palo Alto Networks的GlobalProtect Agent、Pulse Secure的Connect Secure、F5 Networks,以及思科的AnyConnect,但CERT表示,這似乎是VPN程式常用的配置,可能有其它VPN品牌也受波及。
Palo Alto Networks、Pulse Secure已修補了相關漏洞。
(相關資訊來自
iThome
)
« 上一篇
下一篇 »
