VPN-i turvaaugud avastati parimatest VPN-teenustest (04.16.24)

Peamine põhjus, miks Interneti-kasutajad VPN-teenust tellivad, on nende privaatsuse ja võrguturbe kaitsmine. VPN-id kasutavad krüpteeritud digitaalset tunnelit, mille kaudu kasutaja ühendus läbib, hoides kasutaja andmed eemal pahatahtlike kolmandate osapoolte kasutajate uudishimulikust pilgust.

Aga mis juhtub, kui teie VPN-i ohustatakse?

Cisco Talos, tipptasemel ohu-uurijate meeskond, on hiljuti paljastanud mõned VPN-i tippteenustest leitud turvavead , eriti NordVPN ja ProtonVPN. Talos on spetsialiseerunud selliste VPN-i vigadega sarnaste veebiohtude vastaste turberahenduste tuvastamisele, analüüsimisele ja loomisele.

Teadlased avastasid, et need vead tulenevad nii NordVPN kui ka ProtonVPN klientide disaini haavatavusest, mis võimaldavad ründajatel suvalisi koode käivitada .

VPN-i turvavead

Need haavatavused on tuvastatud kui CVE-2018-3952 ja CVE-2018-4010, mis osutuvad sarnaseks VerSprite'i selle aasta alguses leitud puudustega. Varasemat VerSprite'i avastatud turvaviga jälgiti kui CVE-2018-10169 ja kuigi mõlemale kliendile on turvaaugu parandamiseks paigaldatud plaastreid, saab seda siiski kasutada muude vahenditega. Tegelikult ütles Talos, et nad said möödunud aprillis rakendatud parandustega ümber käia.

Kuidas VPN-i turvaviga töötab

CVE-2018-10169 oli Windowsi privileegide eskaleerimisviga, mille põhjustas sama disain nii NordVPN-is kui ka ProtonVPN-is.

Mõlema VPN-kliendi liides võimaldab sisseloginud kasutajal käivitada binaarfaile, sealhulgas VPN-i seadistamisvalikuid, näiteks valida eelistatud VPN-serveri asukoht. Kui kasutaja klõpsab nuppu Ühenda, edastatakse see teave teenusele OpenVPN-i konfiguratsioonifaili kaudu. Haavatavus peitub seal - VerSprite suutis luua uue OpenVPN-i konfiguratsioonifaili ja saata selle teenusesse laadimiseks ja käivitamiseks.

Igaüks saab OpenVPN-i faili meisterdada, sealhulgas pahatahtliku kavatsusega ja seda rikkuda. VPN-teenust või varastage teie andmeid.

Mõlemad VPN-teenuse pakkujad rakendasid sama plaastrit, mis on loodud OpenVPN-faili sisu juhtimiseks. Cisco juhtis siiski tähelepanu sellele, et kood sisaldab väikest kodeerimisviga, mis võimaldab ründajatel plaastrist mööda hiilida.

Talos testis kahe VPN-i kliendi, eriti ProtonVPN VPN-i versiooni 1.5.1 ja NordVPN-i versiooni 6.14.28.0, lappidega versioone ning avastas, et ründajad võivad möödunud aprillis rakendatud plaastritest mööda minna. nendest VPN-i tööriistade haavatavustest tulenevad vead võivad põhjustada privileegide eskaleerumise ja meelevaldse käsu täitmise. CVE-2018-3952 viga mõjutab NordVPN-i ja selle üle miljoni kasutaja kogu maailmas, samas kui CVE-2018-4010 mõjutab suhteliselt uuemat VPN-teenuse pakkujat ProtonVPN.

VPN Security Fix

Need turvavead leitud VPN-i tippteenustest on saatnud VPN-ettevõtted õhutiheda lahenduse leidmiseks. NordVPN on probleemi lahendamiseks eelmise aasta augustis kasutusele võtnud plaastri. Ettevõte kasutas XML-mudelit OpenVPN-i konfiguratsioonifailide loomiseks, mida sisseloginud kasutajad ei saa muuta.

ProtonVPN aga lõpetas just sel kuul paranduse loomise. ProtonVPN otsustas viia OpenVPN-i konfiguratsioonifailid installikataloogi. Nii ei saa tavakasutajad faile lihtsalt muuta.

Mõlemad VPN-ettevõtted on soovitanud oma kasutajatel nende vigade parandamiseks ja võimalike ohtude vältimiseks oma VPN-kliente võimalikult kiiresti värskendada. VPN-i tööriistade haavatavus

Varem jaanuaris avaldas Cisco WebVPN-iga konfigureeritud võrgu turvaseadmeid kasutavatele kasutajatele kiiret turvateadet. Sellele kliendita VPN-teenuse pakkujale anti kriitiline hinne, mis on ühise haavatavuse hindamissüsteemi kõrgeim hoiatus. VPN-ettevõte oli veebipõhise võrgurünnaku suhtes haavatav, võimaldades ründajal turvast mööda hiilida ja käske käivitada ning võrguseadmete täielikku kontrolli omandada. Hiljem väljastas Cisco selle turvaauku parandamiseks plaastri.

Samuti kasutab High-Tech Bridge (HTB) uuringu kohaselt üheksa kümnest VPN-teenusest vananenud või ebaturvalist krüptimistehnoloogiat, seades sellega kasutajad ohtu. Uuringus leiti ka, et enamik SSL-i VPN-i kas kasutab ebausaldusväärset SSL-sertifikaati või kasutab oma RSA-sertifikaatide jaoks haavatavaid 1024-bitiseid võtmeid. Samuti on häiriv teada saada, et üks kümnest SSL VPN-serverist on endiselt haavatav kurikuulsa Heartbleedi - vea tõttu, mis võimaldab häkkeritel andmeid välja tõmmata tasakaalustamata süsteemide mälust.

See uuring näitab lihtsalt, et haavatavused eksisteerivad ka VPN-ides, mis iroonilisel kombel olid mõeldud kaitsma meid nende täpsete ohtude eest.

Veebiturvalisuse tagamiseks on ülitähtis kasutada usaldusväärseid VPN-teenuseid . Tasuta VPN-teenused võivad pakkuda teile põhilist privaatsust, kuid te pole kindel, kas ettevõte jälgib teie veebitegevusi või mitte. Tasuta VPN-id on altid ka vigadele ja muudele turvaküsimustele.

Parim VPN investeeriks täiustatud ja häkkimiskindlatesse VPN-tehnoloogiatesse, et pakkuda oma kasutajatele terviklikku kaitset. Lisaks tugeva krüptimistehnoloogia kasutamisele peate vaatama ka muid VPN-i turvaelemente, nagu tapmise vahetamise valikud, lekkevastased funktsioonid, logimispoliitika, marsruutimismeetodid ja muud. professionaalne VPN-teenus nagu Outbyte VPN on parim lahendus, kuna see pakub 100% veebiturvet ilma jälgimiseta. Outbyte VPN kasutab ka sõjaväeklassi krüptimistehnoloogiat, nii et selle turvalisuses pole kahtlust.

Youtube video: VPN-i turvaaugud avastati parimatest VPN-teenustest

04, 2024

VPN-i turvaaugud avastati parimatest VPN-teenustest (04.16.24)

Youtube video: VPN-i turvaaugud avastati parimatest VPN-teenustest

Artiklid

Mis on kõrgahju retsept Minecraftis

Corsair Linki digitaalne liidesekaabel (selgitatud)

Kuidas süsteem Windowsi konfigureerida käivitamiseks turvarežiimis

Kõik Robloxist ei meeldi Bot

5 viisi Razeri Deathadder Grip koorimise parandamiseks

Viimased artiklid

Kuidas juurida Android-telefon ilma arvuti abita

4 viisi, kuidas lahendada lahknevussõnumeid, mida ei saadeta

Steam-mänge, mida teegis ei näidata, pakub see, mida peaksite tegema

Kuidas teha Fortnite'i täisekraan

3 viisi, kuidas Razer Naga parandada, peatab juhusliku liikumise