SSL VPN能让雇员通过Web浏览器访问公司服务器,然而,美国计算机应急响应组织(以下称US CERT)的预警指出,SSL VPN的使用可能会让用户遭受“中间人攻击”(man-in-the-middle attacks)。
US CERT指出,这一漏洞影响到几十个涉及SSL VPN技术的设备,其中包括:思科、Juniper Networks、SonicWall和SafeNet四家网络设备厂商的产品,这一预警中称:SSL VPN破坏了基本的浏览器安全机制,黑客能够使用这些设备来绕过身份认证或发起其他一些web攻击。
为达到攻击SSL VPN漏洞的目的,攻击者会瞄准某一特定域并诱使用户访问恶意的网页,这样以来攻击者就能够不分地域地通过SSL VPN窃取到VPN会话令牌、读取或修改上面的信息。这一方式能让攻击者捕捉到受害者与网页交互数据时的按键记录。
US CERT 说:“事实上,这将致使所有浏览器上统一的原始策略管制失效,因为所有的内容都运行在WEB VPN域的特权级别。提供基于域的内容管制的一些机制,例如IE安全区以及火狐的NoScript插件,将都有可能被黑客绕过。”
这种安全漏洞影响的是那些直接通过网络浏览器运行的VPN系统,通过PC安装的软件运行的VPN系统不受影响。黑客利用这种安全漏洞可以接入企业网络,盗取机密数据,安装恶意软件,或把PC变成一个垃圾邮件服务器。当前,许多企业正是使用SSL VPN技术建立通讯系统,并通过互联网访问内部计算机系统。
US CERT在公告中还指出,上述四家厂商目前还没有找到解决这一问题的最终方案,它们在9月24日就得到了安全警告。不过,US CERT研究人员已经开发出了一个“变通方案”,可以最小化这种安全漏洞的危害,但是不能彻底解决这一问题。管理员可以对URL改写成受信域的情形进行限制,配置VPN设备让其只接受特定网络域的访问,并关闭URL隐藏功能。
Juniper 安全响应小组负责人巴里-格林(Barry Greene)说,他的公司多年前就发现了这种安全漏洞,业已敦促用户使用其他方法运行那些系统。他说:“用户采用最普通的方法明显降低了这一风险,他们根本不用为此担心。”SafeNet发言人称,她的公司指导用户配置设备,建议用户使用另外一种方法,完全可以消除这种风险。思科发言人没有对此发表评论。
US CERT表示,尽管没有对其他公司的SSL VPN产品进行检测,但是它们的产品也可能存在这种安全漏洞。
这一漏洞是安全研究员David Warren和Ryan Giobbi在Michael Zalewski的帮助下发现的。