ผลวิจัยเผย 77% ของบริการ SSL VPN มีความเสี่ยง

VPN นับว่าเป็นเครื่องมือสำคัญที่ช่วยให้พนักงานหรือผู้บริหารสามารถเข้าถึงระบบเครือข่ายขององค์กรจากที่แห่งใดก็ได้ในโลก รวมทั้งช่วยการันตีความมั่นคงปลอดภัยในการเข้าถึงและใช้งาน Resource อย่างไรก็ตาม งานวิจัยของ High-Tech Bridge เผยว่า กว่า 77% ของบริการ SSL VPN ที่ให้บริการทั่วโลกยังคงใช้โปรโตคอล SSLv3 ซึ่งถูก IETF (Internet Engineering Task Force) ปรับให้เป็นโปรโตคอลที่ไม่ปลอดภัยตั้งแต่กลางปี 2015 (RFC 7568)

SSLv3 ถูกพัฒนาขึ้นมาตั้งแต่ปี 1996 ซึ่งปัจจุบันเรียกได้ว่าหมดยุคไปแล้ว และไม่แนะนำให้ใช้งาน หลายมาตรฐานและข้อกำหนดด้านความมั่นคงปลอดภัยสั่งห้ามไม่ให้บริษัทใช้งานโปรโตคอลดังกล่าว เนื่องจากมีช่องโหว่และจุดอ่อนร้ายแรงหลายประกาศ ซึ่งอาจก่อให้เกิดผลเสียร้ายแรงต่อระบบขององค์กรได้

ttt_Cable_was_Cut-Lisa_S
Credit: Lisa S/ShutterStock

รายละเอียดของผลการวิจัยที่สำคัญ

  • ประมาณ 3 ใน 4 (76%) ของ SSL VPN มีการใช้ SSL Certificate แบบ Untrusted ซึ่ง Certificate ดังกล่าวช่วยให้แฮ็คเกอร์สามารถปลอมแปลง VPN Server ขึ้นมาโจมตีแบบ Man-in-the-Middle ได้ เช่น ดักจับทราฟฟิคเพื่อแอบฟังข้อมูล ไม่ว่าจะเป็น ไฟล์ อีเมล และรหัสผ่าน ได้
  • 74% ของ Certificate ยังคงใช้ Digital Signature แบบ SHA-1 ซึ่งถูกพิสูจน์แล้วว่าใช้เวลาแฮ็คได้ในเวลาไม่นาน และหลาย Web Browser ต่างออกมาประกาศว่าเตรียมเลิกใช้งานเร็วๆนี้
  • 41% ของ SSL VPN ใช้กุญแจเข้ารหัส RSA ขนาด 1024 bits ซึ่งถือว่ามีขนาดเล็กมาก กุญแจที่ดี พอทนทนต่อการถูกโจมตีควรมีขนาดไม่ต่ำกว่า 2048 bits
  • 10% ของเซิฟเวอร์ SSL VPN ยังคงใช้ OpenSSL เวอร์ชันที่ได้รับผลกระทบกับช่องโหว่ Heartbleed
  • มีเพียง 3% ที่ผ่านข้อกำหนด PCI-DSS แต่ไม่มี SSL VPN ใดเลยที่ผ่านมาตรฐานด้านความปลอดภัยของ NIST

ที่มา: http://www.infosecurity-magazine.com/news/most-ssl-vpns-are-wildly-insecure/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Gartner ชี้ 6 เทคโนโลยี IT ที่น่าลงทุนสำหรับการนำไปใช้ในปี 2022

Gartner ได้ออกมาเปิดเผยถึงเทคโนโลยีด้าน IT ที่คาดว่าน่าจะอยู่ในอันดับต้นๆของเทรนด์ที่องค์กรอาจจะลงทุนในปีหน้า 

Gartner ออก Magic Quadrant ด้าน Meeting Solutions ปี 2021 – Microsoft, Cisco, Zoom ยังครองแชมป์

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Meeting Solutions ประจำปี 2021 ผลปรากฏว่าผู้ครองตำแหน่ง Leader ยังคงเป็น 3 Vendors …