在最近的一份漏洞报告（VU#261869，2010年1月中旬更新）中，美国计算机应急响应组发布警告，他们在许多产品中发现了一种无客户端的SSL VPN漏洞。这个SSL VPN漏洞可以让攻击者绕过认证机制或者进行其他的网络攻击。

　　那么，无客户端的SSL VPN到底出什么问题了呢？首先，理解这些应用程序检索信息的方式是很重要的。许多无客户端的SSL VPN产品——US-CERT漏洞记录中的一系列有漏洞的产品——是从不同的内网站点检索内容，然后会提交一份内容的整合报告，就好像它们来自一个单一的资源一样：在这种情况下，是来自SSL VPN服务。这个整合的内容绕过了同源政策（Same Origin Policy），而这对于许多浏览器端的程序语言（比如JavaScript）来说是一个重要的安全概念。

　　同源政策允许运行在同一网站上的网页脚本互相访问对方的方法和属性，没有特定的限制，但是不允许通过不同网站上的网页来访问方法和属性。由于SSL VPN产品不需要严格区分客户端上维护的与网站无关的活动内容，这就有可能降低数据的机密性和完整性。这是个尤其重要的概念，因为今天的web服务器提供了基于客户端HTTP cookie信息的访问，以此来获得敏感信息或者进行状态变化的操作。

　　攻击者会怎样利用这个漏洞呢？他们有两种方法可以利用这个由无客户端SSL VPN服务所造成的安全漏洞。第一种方法应用于VPN会话被设置成能够同时访问安全的内部域以及外部域的时候。这种情况下，攻击者可以在外部域建立一个恶意网页，旨在访问在客户端的Web浏览器上所有受保护的域；攻击者还能够偷窃会话cookie，并劫持用户的VPN会话。另外一种情况是，攻击者用两个框（frame）建立一个网页：一个是隐藏的，另一个则用于显示目标内网。只要用户登录到这个内网，隐藏的框就会在第二个框中收集所有终端用户的按键记录（包括用户名/密码等信息），并且隐藏的框还会把用户的按键记录发回到攻击者的网站。然后，攻击者会打开一个无客户端的SSL VPN会话连接到内网，并使用收集到的信息来访问受保护的应用程序。

　　如果是由你来管理企业的SSL VPN服务的话，你能做些什么呢？如果你继续允许终端用户通过无客户端的SSL VPN同时访问内部以及外部的网站，那么你自己真的不需要做多少事情。管理员应该去产品供应商的技术支持网站上寻找解决这个问题的方法。在这个漏洞被发现以后，许多供应商都已经做出了回应，并且发布了针对他们自己产品的指导意见。

　　如果你的产品把所有的内网站点整合成这个服务所操作的一个虚拟域，那么没有方法能够阻止用户进入互联网中任何其他的站点，并且很可能会接触到攻击者的恶意网页。出于这个原因，网络管理员应该尽力去将这些威胁告知他们的终端用户，要求他们在连接到企业的内网时应该限制自己的外网访问。当然，还应该建议他们经常更新杀毒软件以及反恶意软件，这也是一个不错的办法。

　　然而，为了最大限度的降低风险，你应该对无客户端的SSL VPN会话进行仔细配置，只使用它来访问可信任的内部网络。应该禁止其他所有的连接使用SSL VPN会话来进行访问，尽管这样做对于需要同时访问内部应用程序和外部域的用户来说有点麻烦。

　　最后，如果你想真正解决这个漏洞，唯一的办法就是重新设计无客户端SSL VPN服务的工作方式，然而这可能需要很长时间。