JPCERT/CCとIPA、複数のVPNアプリケーションにおいてセッションcookieを不適切に保存する問題について注意喚起
- 2019/04/17 10:00
- SecurityInsight
JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)は4月12日、複数のVPNアプリケーションには認証やセッション管理に用いられるCookieをメモリーやログファイルに不適切に保存する問題が存在するとして、注意喚起を行なった。
影響を受けるシステムとして以下の製品の製品を挙げている。
・Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows
・Palo Alto Networks GlobalProtect Agent 4.1.10 for macOS およびそれ以前
・Pulse Secure Connect Secure 8.1R14, 8.2, 8.3R6,および9.0R2より前
・Cisco AnyConnect 4.7.x系およびそれ以前
想定される影響としては、Cookieを取得可能な第三者によって、リプレイ攻撃による正規ユーザへのなりすましが行なわれる可能性がある。
対策方法として、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。