Descripción: Esta vulnerabilidad permite que el dispositivo afectado acepte cifrados débiles de bloques de 64 bits. Por consiguiente, está vulnerabilidad conocida como SWEET32, puede ser explotada por un atacante a través del método de hombre en el medio con el objetivo de secuestrar una sesión establecida entre un emisor y un receptor, interceptar paquetes y romper el cifrado utilizado.

Los cifrados débiles como RC4, DES, 3DES, entre otros. deben desactivarse en la configuración SSL y los cifrados fuertes como AES deben estar habilitados.

CVE: CVE-2016-2183, CVE-2016-6329
Factor de Riesgo: Medio
Valor CVSS Base: 5.3

Solución: Reconfigure la aplicación afectada, si es posible, para evitar el uso de todos los cifrados de bloques de 64 bits

SISTEMA OPERATIVO LINUX

  • Validar la versión del openssl instalado bastara con el siguiente comando
    openssl versión
  • Para verificar cuales son los cifrados habilitados en el servidor OpenSSL, utilizar el siguiente comando
    nmap –script ssl-enum-ciphers -p 443 -Pn  xx.xx.xx.xx (Dirección IP)
  • La salida del comando debe ser algo similar a lo siguientePORT STATE SERVICE
    443/tcp open https
    | TLSv1.2
    | Ciphers (23)
    | TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    | TLS_DHE_RSA_WITH_AES_256_CBC_SHA
    | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
    | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
    | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    | TLS_RSA_WITH_3DES_EDE_CBC_SHA
    | TLS_RSA_WITH_AES_128_CBC_SHA
    | TLS_RSA_WITH_AES_128_CBC_SHA256
    | TLS_RSA_WITH_AES_128_GCM_SHA256
    | TLS_RSA_WITH_AES_256_CBC_SHA
    | TLS_RSA_WITH_AES_256_CBC_SHA256
    | TLS_RSA_WITH_AES_256_GCM_SHA384
    | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
    | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
    | Compressors
    | NULL
    | cipher preference: client
    | warnings:
    | 64-bit block cipher 3DES vulnerable to SWEET32 attack
    |_  least strength: CNmap done: 1 IP address (1 host up) scanned in 1.46 secondsEl código ‘ 3DES’ indica que se está utilizando cifrado 3DES y por lo tanto tienen que ser deshabilitado por razones de seguridad
  • Editar el archivo de configuración SSL de apache en:
    /etc/apache2/mods-available/ssl.conf usando un editor de texto como vi
  • Identificar la sección de directivas SSL y editar la línea
    SSLProtocol all
    modificarla por
    SSLProtocol All -SSLv2 -SSLv3
  • En la sección SSL y configurar los protocolos seguros y actualizar con el siguiente texto:
    SSLHonorCipherOrder On
    SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
  • Guardar cambios, probar la nueva configuración y reiniciar el servicio de Apache.
    /etc/init.d/apache2 restart

 

  • Referencias:

https://bobcares.com/blog/how-to-fix-sweet32-birthday-attacks-vulnerability-cve-2016-2183/2/

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1018510

 

SISTEMA OPERATIVO WINDOWS

Ingresar al siguiente link: https://www.nartac.com/Products/IISCrypto/ seleccionar el botón download y descargar la versión IIS Crypto GUIInstalar IIS Crypto, una vez instalada ingresar a la aplicación la cual permite de una manera ágil y sencilla modificar los protocolos, suites de cifrado y hashes que se requieren en la maquina, una vez iniciada la aplicación seleccionar las siguientes opciones.

Una vez finalizados los ajustes seleccionar el botón “Apply”, al finalizar se recomendara un reinicio del dispositivo para que los cambios hagan efecto.

 

  • VMWARE

En la siguiente tabla se enumeran los cifrados admitidos y sus puertos en ESX / ESXi y vCenter Server. Estas cifras se basan en el paquete OpenSSL               creado por VMware que se entrega con VCenter Server (Servidor      VCenter Server \ openSL \ openssl.exe en vSphere 6.0), vCenter                 Server Appliance ( / usr / lib / vmware -openSSL / openssl en vSphere 6.0 ), y ESXi ( / bin / openssl ). VMware no aprovecha           el             paquete OpenSSL enviado de forma nativa con SLES. 

ESX / ESXi

Cifras soportadas
RC4-MD5
RC4-SHA

AES128-SHA

DES-CBC3-SHA
Suite B 1,2
Puerto 443
ESX 4.0
Soportado
Soportado
Soportado
Soportado
No soportado
Actualización ESX 4.0
Soportado
Soportado
Soportado
Soportado
No soportado
ESX 4.1
Soportado
Soportado
Soportado
Soportado
No soportado
ESXi 5.x
No soportado
No soportado
Soportado
Soportado
Soportado 2
ESXi 6.0 No soportado No soportado Soportado No soportado Soportado 2
ESXi 6.5 No soportado No soportado Soportado No soportado Soportado 2

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like