In de vpn-software van Cisco, Palo Alto Networks en Pulse Secure is een beveiligingslek gevonden waardoor een aanvaller met toegang tot het endpoint sessiecookies kan stelen om zo als de gebruiker in te loggen. Alleen Palo Alto Networks heeft een beveiligingsupdate uitgebracht.
Dat laat het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit weten. Palo Alto Networks GlobalProtect, Pulse Secure Connect Secure en Cisco AnyConnect blijken de authenticatie en/of sessiecookies onveilig in het geheugen en/of logbestanden op te slaan. Een aanvaller die toegang tot de computer van de gebruiker heeft kan deze sessiecookies stelen.
Daarmee is het mogelijk om de sessie opnieuw af te spelen en zo andere authenticatiemethodes te omzeilen. Een aanvaller heeft op deze manier toegang tot dezelfde applicaties waar de gebruiker via de vpn-verbinding toegang toe heeft. Volgens het CERT/CC geldt deze configuratie waarschijnlijk voor veel meer vpn-applicaties. Voor gebruikers van
Palo Alto Networks GlobalProtect is er een update verschenen (versie 4.1.1 voor Windows en 4.1.11 voor macOS). Cisco en Pulse Secure zouden nog geen updates hebben uitgebracht.