Descripción: El Secure Shell (SSH) es un protocolo de red que crea un canal seguro entre dos dispositivos de red con el fin de permitir el intercambio de datos. SSH puede crear este canal seguro mediante el uso de cifrado modo Cipher Block Chaining (CBC). Un atacante puede ser capaz de recuperar hasta 32 bits de texto sin formato de un bloque arbitrario de texto cifrado.

CVE: N/A
Factor de Riesgo: Baja
Valor CVSS Base: 2,6

Solución: A continuación se indica el procedimiento para corregir la vulnerabilidad evidenciada.

SISTEMA OPERATIVO LINUX:

Tener en cuenta que para cada distribución de Linux varían los comandos y rutas de configuración, pero el procedimiento aplica para cualquier caso.

  1. Se procede a editar el primer archivo ubicado en la ruta /etc/ssh/sshd_config con el comando vim ssh_config, se pueden utilizar otros editores como vi o nano.
  2. Dentro del archivo ssh_config se ubican en la parte de texto que se muestra a continuación:
  3. Para eliminar los comentarios bastara con eliminar el signo numeral # y tambien eliminar los modos de cifrado que no deben ser tenidos en cuenta los cuales son aes128-cbc, 3des-cbc, MACs hmac-md5 las lineas deben quedar asi:
  4. Guardar los cambios y salir del archivo.
  5. Reiniciar el servicio sudo systemctl restart ssh.service

 

SISTEMA OPERATIVO WINDOWS:

  1. Inicie el Editor del Registro (Regedt32.exe) y luego busque la siguiente clave de registro:HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  2. Busque la clave:
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \ RC4 128/128
    Cambie los datos del valor DWORD del valor Habilitado a 0. Esta clave de registro no se aplica a un servidor exportable que no tiene un certificado SGC.
  3. Busque la clave:
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \ Triple DES 168
    Cambie los datos del valor DWORD del valor habilitado a 0. Esta clave de registro no se aplica a la versión de exportación.
  4. Busque la clave:
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \RC2 128/128
    Cambie los datos del valor DWORD del valor habilitado a 0. Esta clave de registro no se aplica a la versión de exportación
  5. Busque la clave:
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \RC4 64/128
    Cambie los datos del valor DWORD del valor habilitado a 0. No se aplica a la versión de exportación (pero se usa en Microsoft Money).
  6. Busque la clave:
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \RC4 56/128
    Cambie los datos del valor DWORD del valor habilitado a 0.
    Deshabilitar este algoritmo no permite lo siguiente: TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
  7. Busque la clave:
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \DES 56
    Su implementación en los archivos Rsabase.dll y Rsaenh.dll se valida bajo el Programa de validación del módulo criptográfico FIPS 140-1.

    Cambie los datos del valor DWORD del valor habilitado a 0.
  8. Busque la clave:
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \RC4 40/128
    Cambie los datos del valor DWORD del valor habilitado a 0.Deshabilitar este algoritmo no permite lo siguiente:SSL_RSA_EXPORT_WITH_RC4_40_MD5
    TLS_RSA_EXPORT_WITH_RC4_40_MD5
  9. Busque la clave:
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \RC2 40/128
    Cambie los datos del valor DWORD del valor habilitado a 0.
    Deshabilitar este algoritmo no permite lo siguiente:SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
    TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  10. Busque la clave:
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \MD5
    Cambie los datos del valor DWORD del valor habilitado a 0.Deshabilitar este algoritmo no permite lo siguiente:
    SSL_RSA_EXPORT_WITH_RC4_40_MD5
    SSL_RSA_WITH_RC4_128_MD5
    SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
    TLS_RSA_EXPORT_WITH_RC4_40_MD5
    TLS_RSA_WITH_RC4_128_MD5
    TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  11. Busque la clave:
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \SHA
    Cambie los datos del valor DWORD del valor habilitado a 0.Deshabilitar este algoritmo no permite lo siguiente:
    SSL_RSA_WITH_RC4_128_SHA
    SSL_RSA_WITH_DES_CBC_SHA
    SSL_RSA_WITH_3DES_EDE_CBC_SHA
    SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
    SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
    TLS_RSA_WITH_RC4_128_SHA
    TLS_RSA_WITH_DES_CBC_SHA
    TLS_RSA_WITH_3DES_EDE_CBC_SHA
    TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
    TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
  12. Busque la clave:
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \KeyExchangeAlgorithms \ PKCS
    Cambie los datos del valor DWORD del valor habilitado a 0.

Si tiene alguna inquietud para mitigar la vulnerabilidad en el S.O Windows valide el siguiente link:

https://support.microsoft.com/en-us/help/245030/how-to-restrict-the-use-of-certain-cryptographic-algorithms-and-protoc

SWITCH CISCO

Para desactivar los Códigos del modo CBC en SSH siga este procedimiento:

Corra el “sh run all ssh” en el ASA:

ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1

Si usted ve el comando ssh cipher encryption medium, significa que el ASA esta por defecto usando cifrados de alta y media potencia.
Para ver los algoritmos de cifrado ssh disponibles en el ASA, ejecute el comando show ssh ciphers:

ASA(config)# show ssh ciphers

Habilitar cifrado SSH e integridad en los algoritmos de cifrado

 all:     3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
low:     3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
medium:  3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
fips:    aes128-cbc   aes256-cbc
high:    aes256-cbc   aes256-ctr

Integridad de Algoritmmos:

all:   hmac-sha1    hmac-sha1-96 hmac-md5     hmac-md5-96
low:     hmac-sha1    hmac-sha1-96 hmac-md5     hmac-md5-96
medium:  hmac-sha1    hmac-sha1-96
fips:    hmac-sha1
high:    hmac-sha1

La salida 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr, muestra todos los algoritmos de cifrado disponibles.
Para desactivar el modo CBC de modo que se pueda utilizar en la configuración ssh, personalice los algoritmos de cifrado a utilizar, con el siguiente comando:

ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr

Seguidamente, ejecutar el comando show run all ssh, para que en la configuración de cifrado ssh, todos los algoritmos utilizen sólo el modo CTR:

ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1

Referencias: Refencia 1

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like