Norweskie Krajowe Centrum Cyberbezpieczeństwa (NCSC) zaleca zastąpienie rozwiązań SSLVPN/WebVPN bardziej bezpiecznymi alternatywami do 2025 roku, a dla infrastruktury krytycznej do końca 2024 roku, ze względu na powtarzające się luki w zabezpieczeniach wykorzystywane przez hakerów. Zalecają przejście na Internet Protocol Security (IPsec) z Internet Key Exchange (IKEv2).
SSL VPN używa protokołów SSL/TLS do zabezpieczania zdalnego dostępu, ale częste luki w tych implementacjach stanowią znaczące zagrożenie. IPsec z IKEv2 oferuje lepszą ochronę dzięki szyfrowaniu i uwierzytelnianiu każdego pakietu. Środki przejściowe obejmują rekonfigurację lub wymianę istniejących rozwiązań VPN, migrację użytkowników, wyłączenie funkcji SSLVPN oraz blokowanie przychodzącego ruchu TLS. Dodatkowo, powinno się stosować uwierzytelnianie oparte na certyfikatach, a tam gdzie połączenia IPsec nie są możliwe, sugerowane jest użycie szerokopasmowego łącza 5G.
NCSC dostarczyło także środki przejściowe dla organizacji, które nie mogą od razu przejść na IPsec z IKEv2. Te środki obejmują wdrożenie centralnego logowania aktywności VPN, restrykcyjne ograniczenia geograficzne oraz blokowanie dostępu od dostawców VPN, węzłów wyjściowych Tor i dostawców VPS. Inne kraje, takie jak USA i Wielka Brytania, również zalecają używanie IPsec zamiast SSLVPN.
Pilność zaleceń NCSC jest podkreślona przez liczne ostatnie incydenty związane z wykorzystywaniem luk w SSLVPN. W szczególności, chińska grupa hakerska Volt Typhoon wykorzystała luki w FortiOS SSL VPN do włamania się do kilku organizacji, w tym do holenderskiej sieci wojskowej. Grupy ransomware, takie jak Akira i LockBit, również wykorzystywały zero-day luki SSL VPN w routerach Cisco ASA do kradzieży danych i szyfrowania urządzeń. W listopadzie 2023 roku NCSC zaalarmowało organizacje o zaawansowanych aktorach zagrożeń, wykorzystujących zero-day luki w VPN Cisco ASA używanych w infrastrukturze krytycznej. Ta kampania, nazwana przez Cisco 'ArcaneDoor’, obejmowała wykorzystanie dwóch zero-day luk (CVE-2024-20353 i CVE-2024-20359), umożliwiających hakerom obejście uwierzytelniania, przejęcie urządzenia i podniesienie uprawnień do poziomu administracyjnego. Chociaż Cisco naprawiło te luki w kwietniu 2024 roku, metody początkowego dostępu pozostają niejasne, co podkreśla utrzymujące się zagrożenia związane z rozwiązaniami SSLVPN.
