9 ud af 10 offentlige VPN-servere bruger usikker kryptering

Sikre SSL VPN-servere hos Cisco, Fortinet og Dell dumper på stribe i omfattende test. Gammel kryptering og usikre certifikater er årsagen.

Schweiziske High-Tech Bridge har undersøgt sikkerheden blandt 10.436 tilfældige offentlige SSL VPN-servere, (Secure Sockets Layer Virtual Private Network) og resultatet er alarmerende.

På 90 procent af de undersøgte VPN-forbindelser, blandt kendte leverandører som Cisco, Fortinet og Dell, er krypteringen enten usikker eller forældet.

Resultatet viser, at flere af leverandørerne fortsat finder SSL/TLS-kryptering sikker nok for HTTPS og glemmer, at e-mail og VPN bruger samme platform.

Bruger 20 år gamle standarder

Undersøgelsen afslører, at 77 procent af de testede SSL VPN fortsat bruger den gamle og usikre SSLv3-protokol.

SSLv3 så første gang dagens lys i 1996 og betragtes i dag som forældet. Talrige afsløringer af sårbarheder ved SSLv3 har betydet, at sikkerhedsstandarder og compliance-normer, såsom PCI DSS og NIST SP 800-52, nu forbyder, at protokollen anvendes.

Misligeholdte certifikater

Også blandt servernes certifikater står det skidt til. Hos hele 76 procent af de undersøgte SSL VPN-servere fandt High-Tech Bridge upålidelige certifikater, der gør det muligt for hackere at udføre et Man-in-the-middle-angreb og derved få adgang til alt fra filer til e-mails og passwords, som brugeren sender over den 'sikre' VPN-forbindelse.

Den største årsag til problemet er, at leverandørerne bruger præinstallerede certifikater på serverne uden at vedligeholde dem.

Næsten lige så mange af serverne i testen bruger certifikater, der er signeret med algoritmen SHA-1, som er kendt for at kunne udnyttes til at forfalske certifikater, og hele 41 procent af serverne benytter RSA-certifikater med en nøglelængde på 1024 bits. Ifølge High-Tech Bridge anses nøglelængder under 2048 bits som usikre.

Og så er den fortsat gal med Heartbleed. 10 procent at de undersøgte servere er sårbare over for Heartbleed, selvom problemet har været kendt siden 2014. Heartbleed gør det muligt for hackere på få minutter at kompromittere alle produkter baseret på OpenSSL.

Kun tre procent er sikre

I undersøgelsen understøttede kun tre procent af serverne kravene til PCI DSS, mens ingen fulgte retningslinjerne under NIST - begge standarder, der af High-Tech Bridge betragtes som et minimum for sikkerhedsniveauet.

I testresultatet har High-Tech Bridge inddelt de testede servere i et scoresystem fra A til F, hvor A er bedst. Kun tre procent af serverne klarer en score på A, hvorimod næsten 86 procent lander på dumpekarakteren F.

Gør det selv-test

Det alarmerende resultat har fået High-Tech Bridge til at udvikle en test, hvor man selv kan kontrollere en krypteret tjeneste.

Testen er meget lig Qualys SSL Server Test, men er ikke, som Qualys, begrænset til webservere. I testen hos High-Tech Bridge kan enhver protokol undersøges ved at indtaste portnummeret sammen med navnet på serveren eller IP-adressen.

Kommentarer (2)

Mogens Bluhme

Man-in-the-xxxx er gået fra netværkslag til applikationslag, nærmere betegnet browseren med sessions-hijacking, typisk i forbindelse med online-banking. Det siver stille og roligt over i andre områder. Det illusterer, at behovet snarere end at understøtte stærke cipher suites, protokoller, certifikater mm. er at forbyde svagere udgaver uanset om man har downgrade prevention, der også finde evasive teknikker til at omgås.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen