Segundo informações da Reuters, a falha se aplica a equipamento dotado de uma tecnologia conhecida como SSL-VPN, que as empresas usam a fim de estabelecer sistemas seguros de comunicação e obter acesso protegido a sistemas internos de computadores via Internet. A falha afeta os sistemas VSN acionados diretamente por meio de um navegador de Web, e não por software instalado no computador pessoal de um usuário, o que constitui método usado mais amplamente.

Os hackers que exploraram essa vulnerabilidade podem ganhar amplo acesso a redes empresariais e roubar dados confidenciais, instalar software prejudicial ou transformar computadores em servidores de spam.

A Juniper está ciente da vulnerabilidade há anos. Barry Greene, diretor da equipe de segurança da Juniper, entrevistado pela agência, comentou que instrui os clientes a operarem os sistemas usando métodos de redução de vulnerabilidade a ponto de não precisarem se preocupar com o risco.

A vulnerabilidade, no entanto, ainda não tem correção, segundo o US_CERT. Ricardo Giorgi, professor do MBA de Gestão de Segurança da Informação da FIAP, considera a falha muito grave porque há risco de roubo de informações estratégicas. “Hoje a VPN é uma tecnologia madura e utilizada pela maioria das empresas que demandam comunicação remota com outras filiais ou profissionais móveis”, explica. Ele ainda alerta que a vulnerabilidade atinge os principais fornecedores, o que aumenta ainda mais o potencial de vítimas.

“Não tenho conhecimento sobre as medidas de contorno dos fabricantes, mas como ainda não há correção, se eu fosse um CSO desabilitaria a interface vai web, já que o problema está no acesso ao browser”, observa. Ele ainda orienta que, além do comunicado interno aos usuários da VPN para não acessá-la via browser, proibiria o uso desse tipo de acesso.