NordVPN近日,芬兰一家VPN服务器遭遇黑客入侵,黑客可能通过该服务器查看客户流量。不过,该公司表示,没有任何登录凭证被拦截。
同一名黑客还攻击了竞争对手的VPN提供商TorGuard和VikingVPN;TorGuard公司淡化了此次入侵的严重程度。
这些黑客事件至少在一年内没有引起人们的注意,现在正引起人们对受影响者的安全问题的怀疑VPN服务,可以防止互联网服务提供商收集你网站查询的详细信息。以NordVPN为例,数据泄露发生在2018年3月,地点是NordVPN租用服务器的芬兰数据中心。“攻击者利用数据中心提供商留下的一个不安全的远程管理系统访问了服务器,而我们并不知道有这样一个系统的存在,”NordVPN在周一的一份声明中说声明(在新窗口打开).
暴露了什么
NordVPN有一个严格的政策(在新窗口打开)反对保存用户流量日志,因此“服务器本身不包含任何用户活动日志,”它说。“我们的应用程序都没有发送用户创建的凭据进行身份验证,所以用户名和密码也不可能被拦截。”
NordVPN最初告诉(在新窗口打开)据彭博社估计,只有50至200名客户在使用受影响的VPN服务器。然而,该公司已经收回了这一声明。”因为这样的数据不存在,所以无法准确地判断。彭博社报道的数字是一个原始估计,”Nordvpn发言人告诉PCMag。
该公司总部位于巴拿马,共有超过1200万客户,可以连接全球3000多个不同的公司VPN服务器。然而,这次入侵似乎涉及黑客获得了芬兰服务器的根访问权限。这将允许神秘的攻击者潜在地查看和修改客户流量。
尽管芬兰数据中心在同月悄悄修补了该漏洞,但黑客还窃取了NordVPN传输层安全(TLS)密钥,该密钥用于加密从客户浏览器到该公司网站和扩展的流量。然而,该公司告诉PCMag,该密钥从未用于加密VPN服务器上的用户流量。
窃取TLS密钥确实为所谓的“中间人攻击”打开了大门,这可能会将未加密的流量暴露给黑客。但要实现这样的计划,还需要采取额外的步骤。这可能包括创建一个虚拟的NordVPN客户端或网站,然后欺骗用户使用它。
暴露的TLS密钥也于2018年10月到期。因此,使用密钥证书最终会在用户的计算机上显示有关过期日期的警告。
很明显,NordVPN在某一时刻遭到了破坏。他们(过期的)私钥已经泄露,这意味着任何人都可以用这些密钥建立一个服务器……pic.twitter.com/TOap6NyvNy(在新窗口打开)
- undefined (@hexdefined)2019年10月20日(在新窗口打开)
泄露的源头
黑客入侵的消息最早出现在周末,当时一名网络开发人员在推特上(在新窗口打开)一个NordVPN TLS密钥在互联网上流传,基本上没有被注意到。2018年5月,一位匿名用户在论坛8chan上发布了被盗的钥匙声称(在新窗口打开)入侵了TorGuard和VikingVPN的服务器
同一篇8chan帖子还指出,黑客窃取了OpenVPN证书颁发机构(在新窗口打开)CA密钥,用于验证VPN服务器与用户计算机之间的加密连接。因此,黑客可以使用密钥创建流氓服务器,成功连接到NordVPN的官方网络。同样的流氓服务器也可以用于中间人攻击,以监视任何被骗连接到它们的用户。
为了应对这些潜在的危险,NordVPN告诉PCMag:即使黑客可以在连接到服务器时查看流量,他也只能看到普通ISP(互联网服务提供商)所能看到的内容,但它不可能是个性化的或链接到特定用户的。”
虽然芬兰数据中心在2018年3月20日用远程管理系统修补了该漏洞,但显然从未通知过NordVPN。NordVPN表示几个月前就知道了这一事件。
该公司在今天的声明中表示:“我们没有立即披露漏洞,因为我们必须确保我们的基础设施不容易出现类似的问题。”“由于服务器数量庞大,我们的基础设施也很复杂,这无法迅速完成。”
作为回应,NordVPN已经终止了与芬兰数据中心的合同。它从该中心租用的所有服务器也都被摧毁了。该公司补充说:“尽管我们当时拥有的3000多台服务器中只有一台受到影响,但我们并不想削弱问题的严重性。”“我们的失败在于与不可靠的服务器供应商签约,我们本应该做得更好,以确保客户的安全。”
然而,芬兰数据中心否认自己有过错。第三方服务器提供商Creanova的首席执行官告诉(在新窗口打开)记者说,这次入侵的发生要归功于惠普或戴尔的远程管理工具,该工具可以在线登录。Creanova的首席执行官还声称,NordVPN特别要求在服务器上安装该工具。
特别是戴尔的支持页面警告(在新窗口打开)其远程管理工具上的默认登录凭据是众所周知的。
显然,这就是NordVPN被黑客攻击的原因(暴露的iDRAC web界面上的默认凭据)pic.twitter.com/09QCYQvBYX(在新窗口打开)
- Nathan ?????(@NathOnSecurity)10月21日(在新窗口打开)
作为回应,NordVPN的发言人表示:“并不是我们不知道这个解决方案;我们从来不知道还有其他账户被创建后又被删除。”该公司还提供了该服务器访问日志的截图。
TorGuard漏洞
至于TorGuard,该公司周一也证实遭到了入侵。但是,在受影响的VPN服务器上没有存储用于验证加密连接的证书颁发机构密钥。该公司在一份声明中说:“我们以这种方式操作,如果最坏的情况发生,VPN服务器被查封甚至被破坏,没有人可以篡改或解密用户流量,或对其他TorGuard服务器发起中间人攻击。声明(在新窗口打开).
目前尚不清楚TorGuard漏洞何时发生,但它涉及第三方提供商的一台服务器,该提供商在2018年初删除了受影响的硬件。
该公司表示,黑客确实窃取了torguardvpnaccess.com域名的TLS密钥,但自2017年以来,这个密钥就对TorGuard网络无效了。
TorGuard表示,由于该公司正在进行的调查,他们在5月份意识到这一漏洞诉讼(在新窗口打开)北dvpn涉嫌勒索它是如何发现的(在新窗口打开)互联网上的TorGuard服务器配置文件。
该公司表示:“由于诉讼仍在进行中,我们无法提供有关该主机转卖商的确切细节,也无法提供攻击者如何获得未经授权的访问权限。”“但是,我们希望公众知道,这台服务器没有受到外部威胁,其他TorGuard服务器或用户也从未受到威胁。”
黑客泄露的第三家VPN提供商VikingVPN没有立即回应置评请求。
编者按:这个故事已经更新了更多关于黑客如何获得受影响的NordVPN服务器的根访问权限的信息,据报道,该服务器只有50到200个用户。NordVPN目前估计有50到200名用户。还包括了关于数据中心提供商的其他详细信息。
VPN如何工作
