公開日:2019/04/12 最終更新日:2019/04/19

JVNVU#97651416
複数の VPN アプリケーションにおいてセッション cookie を不適切に保存する問題

概要

複数の VPN (Virtual Private Network) アプリケーションには、認証やセッション管理に用いられる cookie をメモリやログファイルに不適切に保存する問題が存在します。

影響を受けるシステム

以下の製品は cookie をメモリとログファイルに不適切に保存します。

  • Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows (CVE-2019-1573)
  • Palo Alto Networks GlobalProtect Agent 4.1.10 for macOS およびそれ以前 (CVE-2019-1573)
  • Pulse Connect Secure (for Network Connect customers) 8.1R13, 8.3R6, 9.0R2 およびそれ以前 (CVE-2019-11213)
  • Pulse Desktop Client 5.3R6, 9.0R2 およびそれ以前 (CVE-2019-11213)
以下の製品は cookie をメモリに不適切に保存します。
  • Cisco AnyConnect 4.7.x 系およびそれ以前

詳細情報

仮想プライベートネットワーク (VPN) は、複数のネットワークをインターネットを介して安全に接続するために使用されます。複数の VPN アプリケーションでは、認証やセッション管理に用いられる cookie をメモリやログファイルに不適切に保存する、センシティブなデータを暗号化しない問題 (CWE-311) が存在します。

想定される影響

Cookie を取得可能な第三者によって、リプレイ攻撃による正規ユーザへのなりすましが行われる可能性があります。

対策方法

Palo Alto Networks GlobalProtectについて:
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性に対応した GlobalProtect Agent 4.1.1 for Windows および GlobalProtect Agent 4.1.11 for macOS が提供されています。

Pulse Secure Desktop Client および Network Connect について:
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性に対応した以下のバージョンが提供されています。

  • Pulse Secure Desktop 5.3R7 およびそれ以降
  • Pulse Secure Desktop 9.0R3 およびそれ以降
  • Pulse Connect Secure 8.1R14 およびそれ以降
  • Pulse Connect Secure 8.3R7 およびそれ以降
  • Pulse Connect Secure 9.0R3 およびそれ以降

Cisco AnyConnect について:
2019年4月12日現在、対策方法は不明です。

参考情報

  1. CERT/CC Vulnerability Note VU#192371
    Multiple VPN applications insecurely store session cookies
  2. VULDB
    Vulnerability ID 133258 GlobalProtect Agent on Windows/macOS privilege escalation [CVE-2019-1573]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
基本値: 7.9
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:L/AC:L/Au:S/C:C/I:P/A:P
基本値: 5.7
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2019-1573
CVE-2019-11213
JVN iPedia

更新履歴

2019/04/19
[影響を受けるシステム]、[対策方法] に追記し、[ベンダ情報] に Pulse Secure の情報を追加しました。