US- CERT周三在其网站发表公告称,思科、Juniper Networks、SonicWall和SafeNet公司生产的某些网络设备存在安全漏洞,主要涉及使用SSL VPN技术的设备。当前,许多企业正是使用SSL VPN技术建立通讯系统,并通过互联网访问内部计算机系统。这种安全漏洞影响的是那些直接通过网络浏览器运行的VPN系统,通过PC安装的软件运行的VPN系统不受影响。黑客利用这种安全漏洞可以接入企业网络,盗取机密数据,安装恶意软件,或把PC变成一个垃圾邮件服务器。
US-CERT在公告中还指出,上述四家厂商目前还没有找到解决这一问题的最终方案,它们在9月24日就得到了安全警告。不过,US-CERT研究人员已经开发出了一个“变通方案”,可以最小化这种安全漏洞的危害,但是不能彻底解决这一问题。
Juniper 安全响应小组负责人巴里-格林(Barry Greene)说,他的公司多年前就发现了这种安全漏洞,业已敦促用户使用其他方法运行那些系统。他说:“用户采用最普通的方法明显降低了这一风险,他们根本不用为此担心。”SafeNet发言人称,她的公司指导用户配置设备,建议用户使用另外一种方法,完全可以消除这种风险。思科发言人没有对此发表评论。
US-CERT表示,尽管没有对其他公司的SSL VPN产品进行检测,但是它们的产品也可能存在这种安全漏洞。