【活用ガイド】

JVNDB-2019-002622

複数の VPN アプリケーションにおいてセッション cookie を不適切に保存する問題

概要

仮想プライベートネットワーク (VPN) は、複数のネットワークをインターネットを介して安全に接続するために使用されます。複数の VPN アプリケーションでは、認証やセッション管理に用いられる cookie をメモリやログファイルに不適切に保存する、センシティブなデータを暗号化しない問題 (CWE-311) が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.9 (重要) [JPCERT/CC値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 低
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更あり
  • 機密性への影響(C): 高
  • 完全性への影響(I): 低
  • 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 5.7 (警告) [JPCERT/CC値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 単一
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


Palo Alto Networks
  • GlobalProtect agent 4.1.0 for Windows
  • GlobalProtect agent 4.1.10 for macOS およびそれ以前
シスコシステムズ
  • Cisco AnyConnect 4.7.x 系およびそれ以前
パルスセキュア
  • Pulse Connect Secure 8.1R13 およびそれ以前
  • Pulse Connect Secure 8.3R6 およびそれ以前
  • Pulse Connect Secure 9.0R2 およびそれ以前
  • Pulse Secure Desktop Client 5.3R6 およびそれ以前
  • Pulse Secure Desktop Client 9.0R2 およびそれ以前

想定される影響

Cookie を取得可能な第三者によって、リプレイ攻撃による正規ユーザへのなりすましが行われる可能性があります。
対策

Palo Alto Networks GlobalProtectについて:

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性に対応した GlobalProtect Agent 4.1.1 for Windows および GlobalProtect Agent 4.1.11 for macOS が提供されています。

Cisco AnyConnect および Pulse Secure Connect Secureについて:

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性に対応した以下のバージョンが提供されています。
•Pulse Secure Desktop 5.3R7 およびそれ以降
•Pulse Secure Desktop 9.0R3 およびそれ以降
•Pulse Connect Secure 8.1R14 およびそれ以降
•Pulse Connect Secure 8.3R7 およびそれ以降
•Pulse Connect Secure 9.0R3 およびそれ以降
ベンダ情報

Palo Alto Networks シスコシステムズ パルスセキュア
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な認証(CWE-287) [JPCERT/CC評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2019-1573
  2. CVE-2019-11213
参考情報

  1. JVN : JVNVU#97651416
  2. National Vulnerability Database (NVD) : CVE-2019-1573
  3. National Vulnerability Database (NVD) : CVE-2019-11213
  4. US-CERT Vulnerability Note : VU#192371
  5. 関連文書 : GlobalProtect Agent on Windows/macOS privilege escalation
更新履歴

  • [2019年04月16日]
      掲載
  • [2019年04月23日]
      影響を受けるシステム:内容を更新
      対策:内容を更新
      ベンダ情報:内容を更新