原標(biāo)題：免客戶端SSL VPN產(chǎn)品暴露漏洞可能導(dǎo)致企業(yè)用戶

來(lái)自美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)組織(USCERT)的警告顯示，多家供應(yīng)商的免客戶端SSLVPN產(chǎn)品都存在漏洞，可能破壞網(wǎng)絡(luò)瀏覽器的基本安全機(jī)制。

　　至少在2006年該安全漏洞就被發(fā)現(xiàn)，可能導(dǎo)致攻擊者利用這些設(shè)備來(lái)繞過(guò)身份認(rèn)證或進(jìn)行其它類型的網(wǎng)絡(luò)攻擊。瞻博網(wǎng)絡(luò)、思科系統(tǒng)、 SonicWall和SafeNet公司的免客戶端VPN產(chǎn)品都被證實(shí)存在此漏洞。

　　簡(jiǎn)單得說(shuō)：

　　只要說(shuō)服用戶訪問(wèn)一個(gè)特制網(wǎng)頁(yè)，遠(yuǎn)程攻擊者就能夠不分地域地通過(guò)免客戶端SSLVPN竊取到VPN會(huì)話令牌、讀取或修改里面的信息(包括緩存 cookies、腳本或超文本內(nèi)容)。這將致使所有網(wǎng)絡(luò)瀏覽器上統(tǒng)一的原始策略管制失效。舉例來(lái)說(shuō)，這一方式可以讓攻擊者捕捉到受害者與網(wǎng)頁(yè)進(jìn)行數(shù)據(jù)交換時(shí)的按鍵記錄。因?yàn)樗械膬?nèi)容都運(yùn)行在網(wǎng)絡(luò)VPN域的特權(quán)級(jí)別。包括例如IE安全區(qū)以及火狐瀏覽器的NoScript插件在內(nèi)的一些基于域內(nèi)容進(jìn)行管制的安全機(jī)制，將都有可能被黑客繞過(guò)。

　　免客戶端VPN產(chǎn)品提供了基于瀏覽器訪問(wèn)企業(yè)內(nèi)部網(wǎng)的功能，但根據(jù)來(lái)自US-CERT的警告，它們破壞了網(wǎng)絡(luò)瀏覽器的基本安全機(jī)制，可能導(dǎo)致某些活動(dòng)內(nèi)容(JavaScript之類)連接其它網(wǎng)站并更改數(shù)據(jù)。

　　警告提示到：“很多免客戶端SSLVPN產(chǎn)品從不同的網(wǎng)站獲取內(nèi)容，并通過(guò)SSLVPN連接進(jìn)行提交，有效地繞過(guò)瀏覽器對(duì)相同來(lái)源的限制。”

　　在攻擊中，惡意黑客可以創(chuàng)建一個(gè)網(wǎng)頁(yè)，利用客戶端代碼(document.cookie)這種方式

　　制造混淆以回避網(wǎng)絡(luò)VPN的重寫(xiě)，接下來(lái)返回頁(yè)面中的客戶端代碼項(xiàng)目就可以對(duì)網(wǎng)絡(luò)VPN域中所有用戶的緩存cookies進(jìn)行編輯。

　　US-CERT認(rèn)為典型的客戶端代碼可以包括網(wǎng)絡(luò)VPN會(huì)話IDcookie本身以及所有需要通過(guò)網(wǎng)絡(luò)VPN回應(yīng)的緩存cookies?！肮粽呖梢岳眠@些cookies來(lái)劫持用戶的VPN會(huì)話，以及需要通過(guò)網(wǎng)絡(luò)VPN對(duì)會(huì)話確認(rèn)cookie進(jìn)行回應(yīng)的其他所有會(huì)話。”

　　此外，攻擊者可以建立一個(gè)包含兩個(gè)框架的頁(yè)面：一個(gè)框架是隱藏的，而顯示框架包含是的合法內(nèi)部網(wǎng)站的頁(yè)面。US-CERT進(jìn)一步指出，隱藏的框架可以記錄所有的按鍵信息，在合法框架提交所有信息的時(shí)間，利用XMLHttpRequest參數(shù)將按鍵信息傳送到攻擊者的站點(diǎn)，由VPN網(wǎng)絡(luò)語(yǔ)法重寫(xiě)。

　　該組織聲稱，沒(méi)有解決這個(gè)問(wèn)題而帶來(lái)更大的問(wèn)題是，取決于它們的具體配置和網(wǎng)絡(luò)中的位置，這些設(shè)備可能無(wú)法安全運(yùn)行。

　　IT管理員應(yīng)考慮以下變通的辦法：

　　Ø 對(duì)URL網(wǎng)址重寫(xiě)成受信域的情況進(jìn)行限制

　　如果VPN服務(wù)器支持的話，URL網(wǎng)址重寫(xiě)操作只能針對(duì)受信任的內(nèi)部網(wǎng)站。所有其他網(wǎng)站和網(wǎng)域不應(yīng)該被容許通過(guò)VPN服務(wù)器。

　　由于攻擊者只需要說(shuō)服用戶通過(guò)VPN瀏覽訪問(wèn)特定網(wǎng)頁(yè)就可以利用此漏洞，這種解決辦法可能是不那么有效，特別是在有大量的主機(jī)或者域可以通過(guò) VPN服務(wù)器進(jìn)行訪問(wèn)的時(shí)間。在作出決定，什么樣的網(wǎng)站才能容許使用VPN服務(wù)器進(jìn)行訪問(wèn)的時(shí)間，最重要的是要記住，所有容許訪問(wèn)的網(wǎng)站應(yīng)該符合網(wǎng)絡(luò)瀏覽器在安全方面的要求。

　　Ø 限制VPN服務(wù)器網(wǎng)絡(luò)對(duì)信任域的連接

　　也許還可以對(duì)VPN設(shè)備進(jìn)行配置，只容許訪問(wèn)特定的網(wǎng)絡(luò)域名。這一限制也可以通過(guò)使用防火墻規(guī)則來(lái)實(shí)現(xiàn)。

　　Ø 禁用URL網(wǎng)址隱藏功能

　　這樣的話，就可以防止隱藏目標(biāo)頁(yè)網(wǎng)址對(duì)用戶造成混淆。使用了該功能，攻擊者就無(wú)法隱瞞他們發(fā)送的任何鏈接目標(biāo)頁(yè)面。舉例來(lái)說(shuō)，https:///attack-site.com 與https:/ / / 778928801的區(qū)別就很容易被發(fā)現(xiàn)｡