国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 應(yīng)用案例 >

免客戶端SSL VPN暴露漏洞可導(dǎo)致企業(yè)網(wǎng)絡(luò)被攻擊

時(shí)間:2011-05-02 17:17來源: 點(diǎn)擊:
來自美國計(jì)算機(jī)應(yīng)急響應(yīng)組織(US CERT)的警告顯示,多家供應(yīng)商的免客戶端SSL VPN產(chǎn)品都存在漏洞,可能破壞網(wǎng)絡(luò)瀏覽器的基本安全機(jī)制。
Tags漏洞(188)SSL VPN(11)  

  來自美國計(jì)算機(jī)應(yīng)急響應(yīng)組織(US CERT)的警告顯示,多家供應(yīng)商的免客戶端 產(chǎn)品都存在漏洞,可能破壞網(wǎng)絡(luò)的基本安全機(jī)制。

  免客戶端SSL VPN產(chǎn)品暴露漏洞可能導(dǎo)致企業(yè)用戶被攻擊

  至少在2006年該安全漏洞就被發(fā)現(xiàn),可能導(dǎo)致攻擊者利用這些設(shè)備來繞過身份認(rèn)證或進(jìn)行其它類型的網(wǎng)絡(luò)攻擊。瞻博網(wǎng)絡(luò)、系統(tǒng)、SonicWall和SafeNet公司的免客戶端VPN產(chǎn)品都被證實(shí)存在此漏洞。

  免客戶端SSL VPN產(chǎn)品暴露漏洞可能導(dǎo)致企業(yè)用戶被攻擊

  簡單得說:

  只要說服用戶訪問一個(gè)特制網(wǎng)頁,遠(yuǎn)程攻擊者就能夠不分地域地通過免客戶端SSL VPN竊取到VPN會(huì)話令牌、讀取或修改里面的信息(包括緩存cookies、腳本或超文本內(nèi)容)。這將致使所有網(wǎng)絡(luò)瀏覽器上統(tǒng)一的原始策略管制失效。舉例來說,這一方式可以讓攻擊者捕捉到受害者與網(wǎng)頁進(jìn)行數(shù)據(jù)交換時(shí)的按鍵記錄。因?yàn)樗械膬?nèi)容都運(yùn)行在網(wǎng)絡(luò)VPN域的特權(quán)級(jí)別。包括例如IE安全區(qū)以及火狐瀏覽器的NoScript插件在內(nèi)的一些基于域內(nèi)容進(jìn)行管制的安全機(jī)制,將都有可能被繞過。

  免客戶端VPN產(chǎn)品提供了基于瀏覽器訪問內(nèi)部網(wǎng)的功能,但根據(jù)來自US-CERT的警告,它們破壞了網(wǎng)絡(luò)瀏覽器的基本安全機(jī)制,可能導(dǎo)致某些活動(dòng)內(nèi)容(JavaScript之類)連接其它網(wǎng)站并更改數(shù)據(jù)。

  警告提示到:“很多免客戶端SSL VPN產(chǎn)品從不同的網(wǎng)站獲取內(nèi)容,并通過SSL VPN連接進(jìn)行提交,有效地繞過瀏覽器對(duì)相同來源的限制?!?/P>

  在攻擊中,惡意黑客可以創(chuàng)建一個(gè)網(wǎng)頁,利用客戶端代碼(document.cookie)這種方式

  制造混淆以回避網(wǎng)絡(luò)VPN的重寫,接下來返回頁面中的客戶端代碼項(xiàng)目就可以對(duì)網(wǎng)絡(luò)VPN域中所有用戶的緩存cookies進(jìn)行編輯。

  US-CERT認(rèn)為典型的客戶端代碼可以包括網(wǎng)絡(luò)VPN會(huì)話ID cookie本身以及所有需要通過網(wǎng)絡(luò)VPN回應(yīng)的緩存cookies?!肮粽呖梢岳眠@些cookies來劫持用戶的VPN會(huì)話,以及需要通過網(wǎng)絡(luò)VPN對(duì)會(huì)話確認(rèn)cookie進(jìn)行回應(yīng)的其他所有會(huì)話。”

  此外,攻擊者可以建立一個(gè)包含兩個(gè)框架的頁面:一個(gè)框架是隱藏的,而顯示框架包含是的合法內(nèi)部網(wǎng)站的頁面。US-CERT進(jìn)一步指出,隱藏的框架可以記錄所有的按鍵信息,在合法框架提交所有信息的時(shí)間,利用XMLHttpRequest參數(shù)將按鍵信息傳送到攻擊者的站點(diǎn),由VPN網(wǎng)絡(luò)語法重寫。

  該組織聲稱,沒有解決這個(gè)問題而帶來更大的問題是,取決于它們的具體配置和網(wǎng)絡(luò)中的位置,這些設(shè)備可能無法安全運(yùn)行。

  員應(yīng)考慮以下變通的辦法:

  O 對(duì)URL網(wǎng)址重寫成受信域的情況進(jìn)行限制

  如果VPN服務(wù)器支持的話,URL網(wǎng)址重寫操作只能針對(duì)受信任的內(nèi)部網(wǎng)站。所有其他網(wǎng)站和網(wǎng)域不應(yīng)該被容許通過VPN服務(wù)器。

  由于攻擊者只需要說服用戶通過VPN瀏覽訪問特定網(wǎng)頁就可以利用此漏洞,這種解決辦法可能是不那么有效,特別是在有大量的主機(jī)或者域可以通過VPN服務(wù)器進(jìn)行訪問的時(shí)間。在作出決定,什么樣的網(wǎng)站才能容許使用VPN服務(wù)器進(jìn)行訪問的時(shí)間,最重要的是要記住,所有容許訪問的網(wǎng)站應(yīng)該符合網(wǎng)絡(luò)瀏覽器在安全方面的要求。

  O 限制VPN服務(wù)器網(wǎng)絡(luò)對(duì)信任域的連接

  也許還可以對(duì)VPN設(shè)備進(jìn)行配置,只容許訪問特定的網(wǎng)絡(luò)。這一限制也可以通過使用規(guī)則來實(shí)現(xiàn)。

  O 禁用URL網(wǎng)址隱藏功能

  這樣的話,就可以防止隱藏目標(biāo)頁網(wǎng)址對(duì)用戶造成混淆。使用了該功能,攻擊者就無法隱瞞他們發(fā)送的任何鏈接目標(biāo)頁面。舉例來說,https:///attack-site.com 與https:/ / / 778928801的區(qū)別就很容易被發(fā)現(xiàn)。

------分隔線----------------------------

推薦內(nèi)容