VPN-producten van 4 grote fabrikanten zijn niet veilig

De zakelijke VPN-producten van vier grote IT-leveranciers blijken een kwetsbaarheid te bevatten die organisaties gevoelig maakt voor hackers.

De virtual private network (VPN)-producten waarvoor wordt gewaarschuwd, zijn van Cisco, Palo Alto Networks, F5 Networks en Pulse Secure, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse Computer Emergency Response Team (US-CERT).

De vier genoemde producten slaan ofwel authenticatiegegevens ofwel sessiecookies onveilig op in het werkgeheugen of in logbestanden. Dit kan een risico zijn als een aanvaller fysiek toegang heeft tot de pc of smartphone van het slachtoffer, omdat de sessie opnieuw kan worden gestart en andere authenticatiemethoden zo worden omzeild. Mogelijk kan een hacker toegang krijgen tot applicaties en data van de gebruiker via de VPN-verbinding.

Palo Alto claimt overigens al het euvel verholpen te hebben met de meest recente update van de VPN-software. F5 heeft het reeds deels opgelost. De VPN van CheckPoint bevat de kwetsbaarheid niet, zo laat de fabrikant zelf weten.