科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全美国CERT发出Clientless SSL VPN的漏洞预警

美国CERT发出Clientless SSL VPN的漏洞预警

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 Clientless SSL VPN能让雇员通过Web浏览器访问公司服务器,然而,美国计算机应急响应组织(US CERT)的预警指出,Clientless SSL VPN的使用可能会让用户遭受“中间人攻击”(man-in-the-middle attacks)。

来源:比特网 2009年12月31日

关键字: 系统漏洞 VPN SSL

  • 评论
  • 分享微博
  • 分享邮件

  Clientless SSL VPN能让雇员通过Web浏览器访问公司服务器,然而,美国计算机应急响应组织(US CERT)的预警指出,Clientless SSL VPN的使用可能会让用户遭受“中间人攻击”(man-in-the-middle attacks)。

  这一消息中列出了几十个受影响的SSL VPN品牌,其中包括:Cisco Systems、 Juniper、 3com等等。这一预警中称:Clientless SSL VPN破坏了基本的浏览器安全机制,攻击者能够使用这些设备来绕过身份认证或发起其他一些web攻击。

  这种SSL VPN的漏洞是很严重的,因为clientless VPN通常让用户可以访问内部的webmail服务器、内部的文件共享以及远程桌面功能,使攻击者能接触到公司的敏感数据。

  为达到攻击SSL VPN漏洞的目的,攻击者会瞄准某一特定域并诱使用户访问恶意的网页,这样以来攻击者就能够不分地域地通过clientless SSL VPN窃取到VPN会话令牌、读取或修改上面的信息。这一方式能让攻击者捕捉到受害者与网页交互数据时的按键记录。

  US CERT 说:“事实上,这将致使所有浏览器上统一的原始策略管制失效,因为所有的内容都运行在web VPN域的特权级别。提供基于域的内容管制的一些机制,例如IE安全区以及火狐的NoScript插件,将都有可能被黑客绕过。”

  目前还没有针对这一漏洞的补丁。这次的警报敦促管理员部署工作区,并同clientless VPN厂商一同检查产品的具体操作流程。管理员可以对URL改写成受信域的情形进行限制,配置VPN设备让其只接受特定网络域的访问,并关闭URL隐藏功能。

  这一漏洞是安全研究员David Warren和Ryan Giobbi在Michael Zalewski的帮助下发现的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章