Специалисты компании High-Tech Bridge провели масштабное исследование, призванное прояснить текущее положение дел на рынке SSL VPN-сервисов. Используя собственный SSL-сканер, эксперты выяснили, что почти 90% публичных SSL VPN применяют либо устаревшее, либо ненадежное шифрование. Так, 77% проверенных серверов используют небезопасный протокол SSLv3.
Эксперты проверили 10 436 случайных публичных SSL VPN-серверов, в том числе крупных вендоров: Cisco, Fortinet и Dell. Итог вышел неутешительный: лишь 3% проанализированных серверов получили высшую оценку надежности SSL/TLS-шифрования, тогда как 86% заработали наименьший балл из возможных.
Оказалось, что 77% SSL VPN-серверов используют ненадежный протокол SSLv3, а несколько десятков серверов и вовсе применяют версию SSLv2. В настоящее время ряд стандартов безопасности, в том числе PCI DSS или NIST SP 800-52 запрещает использование протокола SSLv3 в связи с наличием многочисленных уязвимостей. Что говорить об SSLv2.
76% SSL VPN-серверов используют недоверенные SSL-сертификаты. Эти сертификаты позволяют удаленному атакующему использовать атаку man-in-the-middle и осуществить перехват трафика. 74% сертификатов подписаны с применением SHA-1, а 5% используют устаревший хеш-алгоритм MD5.
41% SSL VPN-серверов используют цифровые сертификаты, содержащие ключи RSA длиной 1024 бита, а 10% серверов, поддерживающих OpenSSL, подвержены уязвимости Heartbleed.
Таким образом, лишь 3% серверов соответствуют стандартам PCI DSS, однако ни один из проверенных серверов не соответствует требованиям Национального института стандартов и технологий США (The National Institute of Standards and Technology, NIST).
Свежие комментарии