פגיעויות אבטחה של VPN שהתגלו בשירותי VPN מובילים (03.28.24)

הסיבה העיקרית לכך שמשתמשי האינטרנט רשומים כמנוי לשירות VPN היא הגנה על פרטיותם וביטחונם המקוון. רשתות VPN משתמשות במנהרה דיגיטלית מוצפנת שדרכה עובר חיבור המשתמש, ומרחיקה את נתוני המשתמש מעיניהם החטטניות של משתמשי צד שלישי זדוניים.

אך מה קורה אם ה- VPN שלך נפגע? p> סיסקו טאלוס, צוות מוביל של חוקרי איומים, חשף לאחרונה כמה ליקויי אבטחה שנמצאו כיום בשירותי ה- VPN המובילים ובייחוד NordVPN ו- ProtonVPN. טלוס מתמחה באיתור, ניתוח ויצירת פתרונות אבטחה כנגד איומים מקוונים כמו באגים אלה של VPN. .

פגמי אבטחה של VPN

נקודות תורפה זוהו כ- CVE-2018-3952 ו- CVE-2018-4010, שמתברר כי הם דומים לפגמים שמצאה VerSprite מוקדם יותר השנה. מעקב אחר פגם האבטחה הקודם שגילה VerSprite היה CVE-2018-10169, ולמרות שתיקונים הוחלו על שני הלקוחות כדי לתקן את חור האבטחה, עדיין ניתן לנצל אותו באמצעים אחרים. למעשה, טלוס אמר כי הם הצליחו לעקוף את התיקונים הללו שהופעלו באפריל האחרון.

כיצד פועל פגם האבטחה של VPN

CVE-2018-10169 היה פגם בהסלמה של הרשאות Windows שנגרם על ידי אותו עיצוב בעיות ב- NordVPN וגם ב- ProtonVPN.

הממשק של שני לקוחות ה- VPN הללו מאפשר למשתמש מחובר לבצע בינאריות, כולל אפשרויות תצורת VPN, כמו בחירת מיקום שרת ה- VPN המועדף עליך. כאשר המשתמש לוחץ על 'התחבר', מידע זה מועבר לשירות באמצעות קובץ תצורה של OpenVPN. הפגיעות טמונה שם - VerSprite הצליחה ליצור קובץ תצורה אחר של OpenVPN ולשלוח אותו לשירות לטעינה ולביצוע.

כל אחד יכול ליצור את קובץ ה- OpenVPN, כולל כאלה עם כוונה זדונית, ולהתעסק את שירות ה- VPN או לגנוב את הנתונים שלך.

שני ספקי שירותי ה- VPN יישמו את אותו תיקון שנועד לשלוט בתוכן של קובץ ה- OpenVPN. עם זאת, סיסקו הצביעה על כך שהקוד מכיל פגם קידוד קטן המאפשר לתוקפים לעקוף את התיקון.

טאלוס בדק את הגרסאות המתוקנות של שני לקוחות ה- VPN, במיוחד ProtonVPN VPN גרסה 1.5.1 ו- NordVPN גרסה 6.14.28.0, וגילה כי התיקונים שיושמו באפריל האחרון יכולים להיות עקפים על ידי התוקפים.

באגים שנבעו מ פגיעויות בכלי ה- VPN עלולים לגרום להסלמת הרשאות, כמו גם לביצוע פיקוד שרירותי. הבאג CVE-2018-3952 משפיע על NordVPN ועל למעלה ממיליון המשתמשים ברחבי העולם, ואילו CVE-2018-4010 משפיע על ספק שירותי ה- VPN החדש יחסית, ProtonVPN.

תיקון אבטחה של VPN

פגמי האבטחה הללו שנמצאו בשירותי VPN מובילים שלחו את חברות ה- VPN לטרוף אחר פיתרון אטום. NordVPN יישמה תיקון באוגוסט האחרון לפתרון הבעיה. החברה השתמשה במודל XML כדי ליצור קבצי תצורה של OpenVPN שלא ניתן לערוך אותם על ידי משתמשים מחוברים.

ProtonVPN, לעומת זאת, בדיוק סיימה ליצור תיקון החודש. ProtonVPN החליטה להעביר את קבצי התצורה של OpenVPN לספריית ההתקנה. בדרך זו, משתמשים רגילים אינם יכולים לשנות את הקבצים בקלות.

שתי חברות ה- VPN יעצו למשתמשים שלהן לעדכן את לקוחות ה- VPN שלהן בהקדם האפשרי כדי לתקן את הבאגים הללו ולהימנע מאיומים פוטנציאליים. פגיעויות של כלי VPN

מוקדם יותר בינואר זה, סיסקו פרסמה התראת אבטחה בדחיפות גבוהה למשתמשים המשתמשים בהתקני אבטחה ברשת המוגדרים באמצעות WebVPN. ספק שירותי VPN זה ללא לקוח קיבל את הדירוג הקריטי, ההתראה הגבוהה ביותר תחת מערכת ניקוד הפגיעות הנפוצה. חברת ה- VPN הייתה חשופה להתקפות רשת מבוססות אינטרנט, ואיפשרה לתוקף לעקוף את האבטחה ולהריץ פקודות ולקבל שליטה מוחלטת במכשירי הרשת. מאוחר יותר הוציאה סיסקו תיקון לתיקון פגיעות זו.

כמו כן, על פי מחקר שנערך על ידי High-Tech Bridge (HTB), תשעה מתוך עשרה שירותי VPN משתמשים בטכנולוגיות הצפנה מיושנות או לא בטוחות, ובכך הם מסכנים את המשתמשים. המחקר גילה גם שרוב רשתות ה- VPN של SSL משתמשות בתעודת SSL לא מהימנה או משתמשות במפתחות 1024 סיביות פגיעים עבור אישורי ה- RSA שלהם. זה גם מטריד ללמוד שאחד מכל עשרה שרתי VPN של VPN עדיין פגיע ל- Heartbleed הידוע לשמצה, באג שמאפשר להאקרים לחלץ נתונים מזיכרון של מערכות ללא תחרות.

מחקר זה רק מראה כי פגיעות קיימים גם ברשתות VPN, אשר, למרבה האירוניה, נועדו להגן עלינו מפני האיומים המדויקים הללו.

על מנת להבטיח את אבטחתך המקוונת, חיוני להשתמש ב שירותי VPN מהימנים. שירותי VPN בחינם עשויים לספק לך פרטיות בסיסית, אך אינך בטוח אם החברה עוקבת אחר הפעילויות המקוונות שלך או לא. רשתות VPN בחינם נוטות גם לבאגים ולבעיות אבטחה אחרות.

ה- VPN הטוב ביותר ישקיע בטכנולוגיות VPN מתקדמות וחסינות פריצה בכדי לספק הגנה מקיפה למשתמשיה. מלבד שימוש בטכנולוגיית הצפנה חזקה, עליך לבדוק את תכונות האבטחה האחרות של ה- VPN, כגון אפשרויות מתג להרוג, תכונות נגד דליפות, מדיניות רישום, שיטות ניתוב ואחרות.

השקעה ב שירות VPN מקצועי כגון Outbyte VPN הוא הפיתרון הטוב ביותר מכיוון שהוא מציע 100% אבטחה מקוונת ללא מעקב. VPN של Outbyte משתמש גם בטכנולוגיית הצפנה ברמה צבאית, כך שאין שאלה לגבי האבטחה שלה.


סרטון יוטיוב: פגיעויות אבטחה של VPN שהתגלו בשירותי VPN מובילים

03, 2024