Zdroj: ZDNet
Carnegie Mellon University CERT Coordination Center (CERT/CC) uverejnil bezpečnostné upozornenie, že VPN aplikácie od 4 dodávateľov neukladajú session cookies zašifrované. Niektoré sa dajú nájsť v pamäti počítača, iné v logoch na disku.
Ak má útočník prístup na počítač s takouto VPN aplikáciou, môže obnoviť VPN pripojenie bez autentifikácie. Zoznam postihnutých aplikácií sa nachádza tu. Palo Alto Networks už vydalo záplatu. F5 Networks oznámilo, že o probléme niektorých jeho VPN aplikácii vie od roku 2013. Záplatu nevydá a odporúča dvojfaktorovú autentifikáciu pre VPN (to je výborná rada pre akékoľvek VPN pripojenie). Cisco a Pulse Secure zatiaľ oficiálne nepotvrdili problém.
Boli testované aj VPN aplikácie od Check Point a pfSense. Sú považované za bezpečné.
Obrázok: „VPN Firewall“ by Tim Reckmann, used under CC BY 2.0
