VPN cho phép người dùng truy cập một cách an toàn vào mạng riêng và chia sẻ dữ liệu từ xa thông qua các mạng công cộng. Thật không may, chúng cũng thường có đầy đủ các vấn đề bảo mật, như thực tế là 77% SSL VPN được thử nghiệm vẫn sử dụng giao thức SSLv3 không an toàn.
High-Tech Bridge đã tiến hành nghiên cứu Internet quy mô lớn trên các máy chủ SSL VPN trực tiếp và có thể truy cập công khai và nhận thấy rằng ngoài ra, chỉ có khoảng một trăm máy chủ được thử nghiệm có SSLv2.
“Giao thức SSLv3 được tạo ra vào đầu năm 1996,” công ty giải thích trong báo cáo của mình. “Ngày nay, những sai sót của nó đã được công nhận và nó không được khuyến khích, với phần lớn các tiêu chuẩn an ninh quốc tế và quốc gia và các tiêu chuẩn tuân thủ, chẳng hạn như PCI DSS hoặc NIST SP 800-52, cấm sử dụng nó do nhiều lỗ hổng và điểm yếu được phát hiện trong những năm qua . ”
Khoảng 3/4 (76%) SSL VPNS được thử nghiệm cũng sử dụng chứng chỉ SSL không đáng tin cậy. Chứng chỉ không đáng tin cậy cho phép kẻ tấn công từ xa mạo danh máy chủ VPN, thực hiện các cuộc tấn công trung gian và chặn tất cả dữ liệu, bao gồm các tệp, email và mật khẩu mà người dùng chuyển qua kết nối VPN được cho là “an toàn”. Rủi ro lớn nhất được quan sát là do việc sử dụng các chứng chỉ được cài đặt sẵn mặc định từ các nhà cung cấp.
Tin xấu không kết thúc ở đó: 74% chứng chỉ có chữ ký SHA-1 không an toàn, mặc dù thực tế là phần lớn trình duyệt web có kế hoạch giảm giá trị và ngừng chấp nhận chứng chỉ có chữ ký SHA-1, vì điểm yếu của thuật toán có thể cho phép Chứng chỉ SSL bị giả mạo, mạo danh máy chủ và chặn dữ liệu quan trọng.
Khoảng 41% SSL VPN sử dụng độ dài khóa 1024 không an toàn cho chứng chỉ RSA của họ, được sử dụng để xác thực và trao đổi khóa mã hóa. Độ dài khóa RSA dưới 2048 được coi là không an toàn, cho phép các cuộc tấn công khác nhau.
10% máy chủ SSL VPN dựa trên OpenSSL vẫn dễ bị Heartbleed. Và, chỉ 3% tuân thủ các yêu cầu của PCI DSS và không ai tuân thủ các nguyên tắc của NIST, được coi là mức độ bảo mật bắt buộc tối thiểu.
Nhìn chung, ít hơn 3% SSL VPN được thử nghiệm đạt điểm “A” cao nhất về bảo mật, trong khi gần 86% đạt điểm “F” thấp nhất.
Ilia Kolochenko, Giám đốc điều hành của High-Tech Bridge cho biết: “Ngày nay, nhiều người vẫn liên kết mã hóa SSL / TLS chủ yếu với giao thức HTTPS và trình duyệt web, đồng thời đánh giá thấp việc sử dụng nó trong các giao thức và công nghệ Internet khác . “Rất nhiều điều có thể được thực hiện để cải thiện độ tin cậy và bảo mật của SSL VPN.”