image

Onderzoek: 85% ssl-vpn-servers gebruikt onveilige encryptie

vrijdag 26 februari 2016, 15:57 door Redactie, 3 reacties

85% van de ssl-vpn-servers maakt gebruik van verouderde of onveilige encryptie, waardoor gegevens van gebruikers risico lopen. Dat stelt het beveiligingsbedrijf High-Tech Bridge op basis van onderzoek onder ruim 10.000 openbaar toegankelijke ssl-vpn-servers van grote leveranciers, zoals Cisco, Dell en Fortinet.

Een ssl-vpn is een virtual private network (vpn) dat via de browser kan worden gebruikt. In tegenstelling tot traditionele vpn-diensten hoeft er bij een ssl-vpn-dienst geen software op de computer te worden geïnstalleerd. Een browser is voldoende. Via deze oplossing kunnen gebruikers toegang tot webapplicaties, client/server-applicaties en interne netwerkverbindingen krijgen. Volgens de onderzoekers gebruikt 77% van de geteste ssl-vpn-servers nog steeds het onveilige sslv3-protocol, terwijl er tientallen nog met sslv2 werken.

Verder blijkt 76% van de geteste servers een onbetrouwbaar certificaat te gebruiken, waardoor aanvallers via man-in-the-middle-aanvallen gegevens kunnen stelen. 74% van de certificaten die voor de ssl-vpn-verbinding werd gebruikt blijkt met het sha-1-algoritme te zijn gesigneerd. Dit algoritme wordt als onveilig beschouwd en browserleveranciers en andere partijen zijn dan ook bezig om het algoritme uit te faseren. De onderzoekers ontdekten ook dat 41% van de servers een onveilige sleutellengte voor hun rsa-certificaten gebruikt, waardoor aanvallers verschillende aanvallen kunnen uitvoeren.

Tevens bleek dat 10% van de ssl-vpn-servers die van OpenSSL gebruikmaakt nog altijd kwetsbaar te zijn voor het Heartbleed-lek. Aan de hand van het onderzoek werden de servers beoordeeld. 85% scoorde uiteindelijk een dikke onvoldoende. 3% kreeg een goede voldoende, terwijl de overige 12% net voldoende scoort. Volgens de onderzoekers laten de resultaten zien dat veel mensen ssl/tls-encryptie nog steeds zien als iets wat alleen voor het https-protocol geldt, en daarbij anderen belangrijke internetdiensten zoals e-mail of vpn vergeten.

Reacties (3)
26-02-2016, 18:13 door Erik van Straten
Palo Alto wordt niet bij naam genoemd in het onderzoek. Echter, uit https://securityadvisories.paloaltonetworks.com/Home/Detail/38:
Last revised: 02/25/2016 Summary

When a PAN-OS device is configured as a GlobalProtect portal, a vulnerability exists where an improper handling of a buffer involved in the processing of SSL VPN requests can result in device crash and possible remote code execution. (Ref. #89752)
Severity: Critical

An attacker with network access to the vulnerable GlobalProtect portal may be able to perform a denial-of-service (DoS) attack on the device, and may be able to perform remote code execution on the affected device.

In http://www.theregister.co.uk/2016/02/25/palo_alto_reveals_critical_bugs_and_march_16th_patch_deadline/ (mijn bron voor het bovenstaande) staat onder meer:
25 Feb 2016 at 05:31, Simon Sharwood: Palo Alto Networks has revealed four new nasties, one of which can allow remote code execution and DDOS attacks on its boxen, and given users until March 16th to patch them.

The company's security advisory page lists the four bugs but doesn't mention the deadline.

That date has, however, been shared in an email to customers that reads in part “All customers are advised to upgrade PAN-OS and Panorama to the latest maintenance releases before March 16th, 2016, when details of the vulnerabilities will be publicly disclosed at a security conference in Germany by the security researcher that discovered and reported these issues to us.”
[...]
Inderdaad opvallend dat dit soort informatie slechts via e-mail wordt gedeeld.

In een comment onder https://isc.sans.edu/forums/diary/Critical+Vulnerabilities+in+Palo+Alto+Networks+PANOS/20767/ schrijft Anonymous:
They also published new vulnerability signatures that customers can create rules with as a stopgap before upgrading PAN-OS.
https://live.paloaltonetworks.com/t5/Threat-Articles/Stopgap-Mitigations-Against-PAN-SA-2016-0002-PAN-SA-2016-0003/ta-p/73509
De laatstgenoemde pagina is wat verwarrend.
De kop meldt: Stopgap Mitigations Against PAN-SA-2016-0002, PAN-SA-2016-0003, and PAN-SA-2016-0004
Achter Issue staat: ......rabilities detailed in PAN-SA-2016-0005, PAN-SA-2016-0004, and PAN-SA-2016-0003.

Hmm, die PAN-SA-2016-0005 (niet genoemd in de kop) lijkt nou net de meest kritische kwetsbaarheid, onduidelijk is wat mij betreft of die nu wel of niet wordt gemitigeerd.
26-02-2016, 23:52 door Anoniem
"Blablabla slecht blabla onveilig blablabla lek blablabla outdated blablabla slechte beveiliging blabla"

85% heeft een dikke voldoende...

*kuch kuch*
28-01-2017, 21:08 door Anoniem
"Majority of Android VPNs can’t be trusted to make users more secure" Ars Technica 1/28/2017, door Dan Goodin
https://arstechnica.com/security/2017/01/majority-of-android-vpns-cant-be-trusted-to-make-users-more-secure/


Je zult zien dat er binnenkort nieuwe "security apps" zullen worden ontwikkeld om de zogenaamde "security apps" op hun beurt weer op hun integriteit te gaan controleren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.