نبود امنیت در90 درصد از «SSL VPN»
نبود امنیت در90 درصد از «SSL VPN»
از مجموع هر ده «SSL VPN» نه مورد یا امنیت کافی ندارند و یا از رمزگذاریهای بهروزرسانی
نشده بهره میبرند.
به گزارش واحد امنیت سایبربان؛ هایتک بریج (HTB) که سرپرستی بررسی و مطالعه گسترده در زمینه سرورهای «SSL VPN» عمومی را بر عهده داشته با بررسی تصادفی چیزی در حدود 10436 سرور SSL VPN (از میان چهار میلیون آدرس انتخابی IPv4) که از سوی شرکتهای بزرگی مانند سیسکو، دل و یا فورتینت ارائهشده نتایج جالبی به دست آورده که
به گزارش واحد امنیت سایبربان؛ هایتک بریج (HTB) که سرپرستی بررسی و مطالعه گسترده در زمینه سرورهای «SSL VPN» عمومی را بر عهده داشته با بررسی تصادفی چیزی در حدود 10436 سرور SSL VPN (از میان چهار میلیون آدرس انتخابی IPv4) که از سوی شرکتهای بزرگی مانند سیسکو، دل و یا فورتینت ارائهشده نتایج جالبی به دست آورده که
خواندن آن خالی از لطف نخواهد بود.
خواندن آن خالی از لطف نخواهد بود.
از هر 4 مورد «SSL VPN» بررسیشده، سه مورد (77درصد) از پروتکل منسوخ SSLv3 استفاده میکنند. این در حالی است که حتی چیزی در حدود صد مورد نیز از نسخه قدیمیتر یعنی SSLv2 بهره میبرند. هر دودسته یادشده، بروز حفرههای امنیتی و ضعفهای کارایی را به دنبال خواهند داشت و هیچیک را نمیتوان بهعنوان راهکاری ایمن مدنظر قرارداد.
از هر 4 مورد «SSL VPN» بررسیشده، سه مورد (77درصد) از پروتکل منسوخ SSLv3 استفاده میکنند. این در حالی است که حتی چیزی در حدود صد مورد نیز از نسخه قدیمیتر یعنی SSLv2 بهره میبرند. هر دودسته یادشده، بروز حفرههای امنیتی و ضعفهای کارایی را به دنبال خواهند داشت و هیچیک را نمیتوان بهعنوان راهکاری ایمن مدنظر قرارداد.
از هر چهار مورد «SSL VPN» آزمایششده، سه مورد از گواهیهایی استفاده میکنند که مورد تأیید نبوده و خطر حملاتی که در آن نفوذ گر میتواند در میانه راه انتقالِ دادهها، نقش خود را ایفا کند را افزایش میدهند. نفوذ گران ممکن است از این ضعف استفاده کرده و سروری جعلی که خود را همانند نمونه اصلی معرفی میکند ایجاد کرده تا از این فرصت بهترین بهره را ببرند. استفاده از گواهیهای از پیش نصبشده علت اصلی بروز مشکلات امنیتی در این زمینه است.
چیزی در حدود 74 درصد از گواهیها، امضاهای نامعتبر SHA-1 دارند و پنج درصد نیز از فنّاوری قدیمیتر MD5 بهره میبرند. تا یکم ژانویه 2017 اکثر مرورگرهای وب راهکارهای جدیدی برای عدم پذیرش گواهیهای SHA-1 را اجرایی خواهند کرد زیرا این فنّاوریهای قدیمی، توان لازم برای مقابله با حملات احتمالی نفوذ گران را ندارند.
چیزی در حدود 41 درصد از «SSL VPN» ها از رمزهای 1024 بیتی برای گواهیهای RSA خود استفاده میکنند. گواهی RSA در تشخیص و رمزگذاری تبادل کلیدها مورداستفاده قرار میگیرد. کلیدهای RSA کمتر از 2048 بیت بهعنوان راهکارهایی ناامن مدنظر قرار میگیرند زیرا حفرههایی را برای ورود نفوذ گران باز میکنند که برخی از آنها بر پایه پیشرفتهای انجامشده در شکستن رمز کدها و تحلیلهای رمزگذاری صورت میپذیرند.
از هر 10 سرور SSL VPN، یک مورد همچنان به قابلیتهای OpenSSL (بهعنوانمثال، فورتینت) وابسته است که در مقابل Heartbleed نفوذپذیر است. حفره امنیتیHeartbleed در آوریل 2014 کشف شد و تمامی محصولات و سرویسهایی که بر پایه OpenSSL راهاندازی شدهاند را تحت تأثیر قرار داده است. این حفره امنیتی، راهکاری سرراست و ساده را برای نفوذ گرانی که قصد دارند اطلاعات حساس مانند کلیدهای رمزگذاری شده و دیگر موارد را از سیستمها به دست آورند ایجاد کرده است.
تنها سه درصد از «SSL VPN» های موردبررسی، با PCI DSS سازگاری دارند و هیچیک با NIST سازگار نیستند. مشخصه PCI DSS ویژه بازار کارتهای اعتباری بوده وNIST نیز از سوی آمریکا بهعنوان سطح اولیه استانداردهای امنیتی وضعشده تا راهکارهایی ایمن برای انجام تراکنشهای مربوط به کارتهای اعتباری و یا تبادل دادههای دولتی ایجاد شوند.
لازم به ذکر است که High-Tech Bridge ابزار آنلاین و رایگانی را پیش روی کاربران قرار داده تا بتوانند ارتباط SSL/TSL خود را مورد آزمایش قرار دهند. این سرویس از هر پروتکلی که بر پایه رمزگذاری SSL ایجادشده پشتیبانی میکند تا افراد علاقهمند بتوانند شبکه وب، ایمیل و سرورهای VPN خود را با استفاده از آن موردبررسی و آزمایش قرار دهند.
منبع:
آی تی ایران
از هر چهار مورد «SSL VPN» آزمایششده، سه مورد از گواهیهایی استفاده میکنند که مورد تأیید نبوده و خطر حملاتی که در آن نفوذ گر میتواند در میانه راه انتقالِ دادهها، نقش خود را ایفا کند را افزایش میدهند. نفوذ گران ممکن است از این ضعف استفاده کرده و سروری جعلی که خود را همانند نمونه اصلی معرفی میکند ایجاد کرده تا از این فرصت بهترین بهره را ببرند. استفاده از گواهیهای از پیش نصبشده علت اصلی بروز مشکلات امنیتی در این زمینه است.
چیزی در حدود 74 درصد از گواهیها، امضاهای نامعتبر SHA-1 دارند و پنج درصد نیز از فنّاوری قدیمیتر MD5 بهره میبرند. تا یکم ژانویه 2017 اکثر مرورگرهای وب راهکارهای جدیدی برای عدم پذیرش گواهیهای SHA-1 را اجرایی خواهند کرد زیرا این فنّاوریهای قدیمی، توان لازم برای مقابله با حملات احتمالی نفوذ گران را ندارند.
چیزی در حدود 41 درصد از «SSL VPN» ها از رمزهای 1024 بیتی برای گواهیهای RSA خود استفاده میکنند. گواهی RSA در تشخیص و رمزگذاری تبادل کلیدها مورداستفاده قرار میگیرد. کلیدهای RSA کمتر از 2048 بیت بهعنوان راهکارهایی ناامن مدنظر قرار میگیرند زیرا حفرههایی را برای ورود نفوذ گران باز میکنند که برخی از آنها بر پایه پیشرفتهای انجامشده در شکستن رمز کدها و تحلیلهای رمزگذاری صورت میپذیرند.
از هر 10 سرور SSL VPN، یک مورد همچنان به قابلیتهای OpenSSL (بهعنوانمثال، فورتینت) وابسته است که در مقابل Heartbleed نفوذپذیر است. حفره امنیتیHeartbleed در آوریل 2014 کشف شد و تمامی محصولات و سرویسهایی که بر پایه OpenSSL راهاندازی شدهاند را تحت تأثیر قرار داده است. این حفره امنیتی، راهکاری سرراست و ساده را برای نفوذ گرانی که قصد دارند اطلاعات حساس مانند کلیدهای رمزگذاری شده و دیگر موارد را از سیستمها به دست آورند ایجاد کرده است.
تنها سه درصد از «SSL VPN» های موردبررسی، با PCI DSS سازگاری دارند و هیچیک با NIST سازگار نیستند. مشخصه PCI DSS ویژه بازار کارتهای اعتباری بوده وNIST نیز از سوی آمریکا بهعنوان سطح اولیه استانداردهای امنیتی وضعشده تا راهکارهایی ایمن برای انجام تراکنشهای مربوط به کارتهای اعتباری و یا تبادل دادههای دولتی ایجاد شوند.
لازم به ذکر است که High-Tech Bridge ابزار آنلاین و رایگانی را پیش روی کاربران قرار داده تا بتوانند ارتباط SSL/TSL خود را مورد آزمایش قرار دهند. این سرویس از هر پروتکلی که بر پایه رمزگذاری SSL ایجادشده پشتیبانی میکند تا افراد علاقهمند بتوانند شبکه وب، ایمیل و سرورهای VPN خود را با استفاده از آن موردبررسی و آزمایش قرار دهند.
حرفی نتونستم بزنم!