Solicitar Contato

Iremos retornar seu contato em 24h!

9 + 11 =

Vulnerabilidade encontrada em aplicação VPN

[wtr-time]

Escrito por Natália Scalzaretto

Em 16 de April de 2019

Uma falha em sistemas de VPN (rede virtual privada) colocou milhares de usuários corporativos em risco. E ainda coloca. Na sexta-feira, o governo americano emitiu um alerta por meio da Agência de Cibersegurança e Infraestrutura, baseado em um estudo da Universidade Carnegie Mellon.

De acordo com a universidade, há uma brecha de segurança em sistemas de VPN de fabricantes como Cisco, Palo Alto Networks, Pulse Secure e F5.

Essa vulnerabilidade permite o armazenamento incorreto de tokens de autenticação e cookies de sessão em arquivos de memória ou de log, permitindo assim a repetição de sessão. Com essa informação, hackers poderiam invadir uma rede corporativa e roubar dados preciosos da sua empresa, de seus funcionários e de seus clientes. De acordo com o comunicado do governo americano, “um invasor pode ter acesso aos mesmos programas aos quais os usuários têm acesso durante a sessão de VPN”.

Por enquanto, apenas as empresas F5 e Palo Alto lançaram correções para resolver o problema. As outras não divulgaram informações a respeito de quando pretendem fazer o mesmo.

O programa Cisco AnyConnect 4.7.x e suas versões mais antigas armazenam o cookie de sessão incorretamente na memória. Um porta-voz da empresa afirmou que o programa da empresa não está exposto à vulnerabilidade encontrada pela Universidade Carnegie Melon.

A Palo Alto confirmou a existência do problema nos programas GlobalProtect Agent 4.1.0 para Windows e GlobalProtect Agent 4.1.10 e versões mais antigas para for macOS. Porém, já foi corrigido nas seguintes atualizações GlobalProtect Agent 4.1.1 para Windows e GlobalProtect Agent 4.1.11, e nas demais lançadas posteriormente.

A Pulse Secure admitiu problemas nos aplicativos Connect Secure 9.0R1 – 9.0R2, 8.3R1 – 8.3R6 e 8.1R1 – 8.1R13; bem como no Pulse Desktop Client 9.0R1 – 9.0R2 e 5.3R1 – 5.3R6. Os clientes, afirmou a empresa, devem atualizar para uma versão fixa do Pulse Desktop Client ou do Pulse Connect Secure.

Já a F5 Networks sabia dos problemas de segurança em produtos como BIG-IP APM, BIG-IP Edge Gateway, e FirePass desde Fevereiro de 2014. A empresa, no entanto, nunca lançou uma correção e preferiu recomendar aos clientes que usassem autenticação de dois fatores e senhas únicas. No caso do armazenamento incorreto dos logs de sessões, a F5 já havia corrigido o problema no BIG-IP APM desde as versões 12.1.3 e 13.1.0.

O que é conexão VPN?

A sigla significa Rede Virtual Privada (Virtual Private Network). E é exatamente isso o que ela faz: cria uma rede de comunicação privada dentro de um ambiente público, como a internet. Isso quer dizer que é possível estabelecer uma conexão entre dispositivos de maneira segura. Nenhuma outra parte (um hacker, um espião, provedor de internet) pode ver o que está sendo trocado entre as duas pontas.

Como posso usar a conexão VPN?

Existem diversas maneiras de se proteger usando uma conexão VPN. A primeira dela é o uso individual: você pode usar uma conexão VPN em seu dispositivo (smartphone, tablet, laptop) para proteger sua identidade, por exemplo, quando estiver usando o wi-fi em um café. Da mesma maneira, usando uma VPN, você não estará sujeito a redirecionamentos de DNS, que podem ser usados para roubar seus dados bancários ou informações de login.

Conexões VPN podem ser estabelecidas para criar uma rede protegida entre diversos dispositivos. E isso pode ser feito dentro de um ambiente específico, como uma casa ou um pequeno negócio, ou numa escala maior, como a rede de uma empresa global. Uma vez que essas conexões não precisam ser físicas. Dispositivos espalhados pelo mundo podem se conectar de maneira segura e privada.

Que cuidados preciso ter ao utilizar uma conexão VPN?

É claro que nenhuma ferramenta é perfeita e é preciso tomar certos cuidados. Um dos principais diz respeito ao momento em que uma conexão VPN cai. Em muitos casos, os dispositivos não avisam os usuários de que eles não estão mais numa rede privada e restabelecem a conexão usando as redes públicas (wi-fi, celular). Assim, você fica exposto e nem sabe disso. Por isso, é preciso configurar seus dispositivos para bloquear todo o tráfego, caso a conexão VPN venha a cair. Alguns sistemas operacionais possuem opções fáceis de configurar, outros exigem um pouco mais de esforço.

Outro cuidado importante é prestar atenção ao protocolo usado por seu dispositivo para realizar a conexão por meio de uma VPN. É comum que os sistemas operacionais utilizem o protocolo chamado IPv6. Ele direciona o tráfego para redes públicas e deixa os usuários expostos. As conexões VPN usam o protocolo IPv4. O ideal, portanto, é desativar o IPv6 para evitar que o aparelho acesse uma conexão de dados de maneira pública, caso haja algum problema com a VPN.

Você precisa ter consciência de que usar uma conexão VPN é, na maioria dos casos, usar a internet em um país diferente. Por isso, você está sujeito a ter seus dados roubados enquanto transitam por ali. Existe uma chance de que suas atividades sejam monitoradas. Embora isso seja incomum, é sempre uma possibilidade e é preciso saber disso.

Invista também em criptografia, uma vez que ela oferece uma camada extra – e essencial – de segurança. Geralmente, os dados trocados numa conexão VPN estão protegidos, mas, codificando a informação, eles estarão protegidos mesmo que haja um comprometimento na transmissão. Uma rede VPN aliada à criptografia garante um alto nível de proteção.

Você também pode gostar de…

Congresso decide que LGPD vale para 2020, mas dúvidas permanecem
Congresso decide que LGPD vale para 2020, mas dúvidas permanecem

Em abril, o Congresso mudou a vigência da Lei Geral de Proteção de Dados. Em vez de agosto de 2020, a implementação passaria para janeiro de 2021. Em seguida, o presidente Jair Bolsonaro publicou a Medida Provisória 959/2020, adiando a vigência da lei ainda mais, para...

LGPD é adiada para maio de 2021. O que muda para a sua empresa?
LGPD é adiada para maio de 2021. O que muda para a sua empresa?

Após o Senado adiar a implementação da Lei Geral de Proteção de Dados (LGPD), uma medida provisória assinada pelo presidente Jair Bolsonaro em 29 de abril estende ainda mais o prazo — adiando a LGPD para 3 de maio de 2021. Ou seja, as empresas terão nove meses a mais...

Panorama Fast Help –  4 de Maio
Panorama Fast Help – 4 de Maio

Este é o Panorama FastHelp, seu resumo semanal com tudo o que acontece de mais importante sobre Tecnologia da Informação e Cibersegurança no Brasil. Confira nossos principais destaques:  Ataques e segurança Criminosos seguem se aproveitando do desespero causado...

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

Entre em contato conosco

You have Successfully Subscribed!

Política de Privacidade

Este site usa cookies para fornecer seus serviços e melhorar sua experiência no site. Ao utilizar nosso portal, você concorda com o uso de cookies e nossa política de privacidade.

You have Successfully Subscribed!