نبود امنیت در90 درصد از «SSL VPN»

تاریخ انتشار : ۲۵ اسفند ۱۳۹۴

از مجموع هر ده «SSL VPN» نه مورد یا امنیت کافی ندارند و یا از رمزگذاری‌های به‌روزرسانی نشده‌ بهره می‌برند.

به گزارش گرداب، های‌تک بریج (HTB) که سرپرستی بررسی و مطالعه گسترده در زمینه سرورهای «SSL VPN» عمومی را بر عهده داشته با بررسی تصادفی چیزی در حدود 10436 سرور SSL VPN (از میان چهار میلیون آدرس انتخابی IPv4) که از سوی شرکت‌های بزرگی مانند سیسکو، دل و یا فورتی‌نت ارائه‌شده نتایج جالبی به دست آورده که خواندن آن خالی از لطف نخواهد بود.

از هر 4 مورد «SSL VPN» بررسی‌شده، سه مورد (77درصد) از پروتکل منسوخ SSLv3 استفاده می‌کنند. این در حالی است که حتی چیزی در حدود صد مورد نیز از نسخه قدیمی‌تر یعنی SSLv2 بهره می‌برند. هر دودسته یادشده، بروز حفره‌های امنیتی و ضعف‌های کارایی را به دنبال خواهند داشت و هیچ‌یک را نمی‌توان به‌عنوان راهکاری ایمن مدنظر قرارداد.

از هر چهار مورد «SSL VPN» آزمایش‌شده، سه مورد از گواهی‌هایی استفاده می‌کنند که مورد تأیید نبوده و خطر حملاتی که در آن نفوذ گر می‌تواند در میانه راه انتقالِ داده‌ها، نقش خود را ایفا کند را افزایش می‌دهند. نفوذ گران ممکن است از این ضعف استفاده کرده و سروری جعلی که خود را همانند نمونه اصلی معرفی می‌کند ایجاد کرده تا از این فرصت بهترین بهره را ببرند. استفاده از گواهی‌های از پیش نصب‌شده علت اصلی بروز مشکلات امنیتی در این زمینه است.

چیزی در حدود 74 درصد از گواهی‌ها، امضاهای نامعتبر SHA-1 دارند و پنج درصد نیز از فنّاوری قدیمی‌تر MD5 بهره می‌برند. تا یکم ژانویه 2017 اکثر مرورگرهای وب راهکارهای جدیدی برای عدم پذیرش گواهی‌های SHA-1 را اجرایی خواهند کرد زیرا این فنّاوری‌های قدیمی، توان لازم برای مقابله با حملات احتمالی نفوذ گران را ندارند.

چیزی در حدود 41 درصد از «SSL VPN» ها از رمزهای 1024 بیتی برای گواهی‌های RSA خود استفاده می‌کنند. گواهی RSA در تشخیص و رمزگذاری تبادل کلیدها مورداستفاده قرار می‌گیرد. کلیدهای RSA کم‌تر از 2048 بیت به‌عنوان راهکارهایی ناامن مدنظر قرار می‌گیرند زیرا حفره‌هایی را برای ورود نفوذ گران باز می‌کنند که برخی از آن‌ها بر پایه پیشرفت‌های انجام‌شده در شکستن رمز کدها و تحلیل‌های رمزگذاری صورت می‌پذیرند.

از هر 10 سرور SSL VPN، یک مورد همچنان به قابلیت‌های OpenSSL (به‌عنوان‌مثال، فورتی‌نت) وابسته است که در مقابل Heartbleed نفوذپذیر است. حفره امنیتی Heartbleed در آوریل 2014 کشف شد و تمامی محصولات و سرویس‌هایی که بر پایه OpenSSL راه‌اندازی شده‌اند را تحت تأثیر قرار داده است. این حفره امنیتی، راهکاری سرراست و ساده را برای نفوذ گرانی که قصد دارند اطلاعات حساس مانند کلیدهای رمزگذاری شده و دیگر موارد را از سیستم‌ها به دست آورند ایجاد کرده است.

تنها سه درصد از «SSL VPN» های موردبررسی، با PCI DSS سازگاری دارند و هیچ‌یک با NIST سازگار نیستند. مشخصه PCI DSS ویژه بازار کارت‌های اعتباری بوده و NIST نیز از سوی آمریکا به‌عنوان سطح اولیه استانداردهای امنیتی وضع‌شده تا راهکارهایی ایمن برای انجام تراکنش‌های مربوط به کارت‌های اعتباری و یا تبادل داده‌های دولتی ایجاد شوند.

لازم به ذکر است که High-Tech Bridge ابزار آنلاین و رایگانی را پیش روی کاربران قرار داده تا بتوانند ارتباط SSL/TSL خود را مورد آزمایش قرار دهند. این سرویس از هر پروتکلی که بر پایه رمزگذاری SSL ایجادشده پشتیبانی می‌کند تا افراد علاقه‌مند بتوانند شبکه وب، ایمیل و سرورهای VPN خود را با استفاده از آن موردبررسی و آزمایش قرار دهند.
منبع: آی تی ایران