Descripción: La vulnerabilidad POODLE es una debilidad en la versión 3 del protocolo SSL que permite a un atacante en un contexto de hombre en el medio descifrar el contenido de texto sin formato de un mensaje cifrado SSLv3.
Esta vulnerabilidad afecta a todos los componentes del software que pueden ser forzados a comunicarse con SSLv3. Esto significa que cualquier software que implemente un mecanismo que incluya soporte SSLv3 es vulnerable y puede ser explotado.
Algunas piezas comunes de software que pueden verse afectadas son los navegadores web, servidores web, servidores VPN, servidores de correo, etc.

CVE: CVE-2014-3566
Factor de Riesgo: Medio
Valor CVSS Base: 4.3

Solución: Esta es una vulnerabilidad en la especificación SSLv3, no en ninguna implementación SSL específica. Deshabilitar SSLv3 es la única forma de mitigar completamente la vulnerabilidad.

SISTEMA OPERATIVO LINUX

Servidor Web Nginx

  • Para deshabilitar SSLv3 en el servidor web Nginx, se puede utilizar la directiva ssl_protocols. Esto se ubicará en las opciones server o http de su configuración en el directorioetc/nginx/sites-enabled
    sudo nano /etc/nginx/nginx.conf
  • Para desactivar SSLv3, en la directiva ssl_protocols debe establecerse de la siguiente manera
    ssl_protocols TLSVq TLSv1.1 TLSv1.2;
  • Reiniciar el servidor después de haber realizado la modificación anterior:
    sudo service nginx restart
    Servidor Web Nginx

Apache Web Server

  • Para deshabilitar SSLv3 en el servidor web Apache, se debe ajustar la directiva SSLProtocol proporcionada por el módulo mod_ssl.
    Esta directiva se puede establecer ya sea a nivel de servidor o en una configuración de host virtual. Dependiendo de la configuración de Apache de la distribución, la configuración SSL puede encontrarse en un archivo independiente.
    En Ubuntu, la especificación para servidores se puede ajustar editando el archivo /etc/apache2/mods-available/ssl.conf. Si mod_ssl está habilitado, un enlace simbólico conectará este archivo al subdirectorio mods-enabled:
    sudo nano /etc/apache2/mods-available/ssl.conf
  • En CentOS, se podrá ajustar esto en el archivo de configuración SSL que se encuentra en la siguiente ruta:
    sudo nano /etc/httpd/conf.d/ssl.conf
  • Dentro del archivo se puede encontrar la directiva SSLProtocol. Si no está disponible, crearlo. Modificar de la siguiente manera para eliminar explícitamente la compatibilidad con SSLv3:
    SSLProtocoll all -SSLv3 -SSLv2
  • Guardar y cerrar el archivo. Reiniciar el archivo para habilitar los cambios
    En Ubuntu sudo service apache2 restart
    En CentOS sudo service httpd restart

HAProxy Load Balancer

  • Para deshabilitar SSLv3 en un balanceador de carga HAProxy abrir el archivo haproxy.cfg.
    sudo nano /etc/haproxy/haproxy.cfg
  • En la configuración de la parte frontal, si tiene SSL habilitado, su directiva de enlace especificará la dirección IP pública y el puerto. Si está utilizando SSL, deberá agregar no-sslv3 al final de esta línea:
    frontend name
        bind public_ip:443 ssl crt /path/to/certs no-sslv3
  • Guardar y cerrar el archivo, se debe reiniciar el servicio para implementar los cambios
    sudo service haproxy restart

Postfix SMTP Server

  • Si la configuración del Postfix está configurada para requerir cifrado, utilizará una directiva llamada smtpd_tls_mandatory_protocols.
    se podra encontrar esto en el archivo de configuración principal de Postfix:
    sudo nano /etc/postfix/main.cf
  • Editar la siguiente línea
    smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3
  • Guardar la configuración. Reiniciar el servicio para implementar los cambios
    sudo service postfix restart

Dovecot IMAP and POP3 Server

  • Para desactivar SSLv3 en un servidor Dovecot, es necesario ajustar una directiva llamada ssl_protocols. Dependiendo de los métodos de empaquetado de cada distribución, las configuraciones SSL pueden mantenerse en un archivo de configuración alternativo.
    Para la mayoría de las distribuciones, puede ajustar esta directiva abriendo este archivo:

    sudo nano /etc/dovecot/conf.d/10-ssl.conf
  • Dentro del archivo si está utilizando Dovecot 2.1 o superior, establecer la directiva ssl_protocols para deshabilitar SSLv2 y SSLv3:
    ssl_protocols = !SSLv3 !SSLv2
  • Si se utiliza una versión de Dovecot inferior a 2.1, se puede configurar la lista ssl_cipher_list para que SSLv3 no se use:
    ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL:!SSLv3
  • Guardar y cerrar el archivo. Reiniciar el servicio para implementar los cambios:
    sudo service dovecot restart

SISTEMA OPERATIVO WINDOWS

Microsoft aún no tiene soporte TLS_FALLBACK_SCSV en SChanel. Por lo tanto, deshabilitar SSLv3 es la única medida de mitigación que se puede aplicar contra POODLE en el caso de un servidor de Windows.

Ingresar al siguiente link: https://www.nartac.com/Products/IISCrypto/ seleccionar el botón download y descargar la versión IIS Crypto GUIInstalar IIS Crypto, una vez instalada ingresar a la aplicación la cual permite de una manera ágil y sencilla modificar los protocolos, suites de cifrado y hashes que se requieren en la maquina, una vez iniciada la aplicación seleccionar las siguientes opciones.


Una vez finalizados los ajustes seleccionar el botón “Apply”, al finalizar se recomendara un reinicio del dispositivo para que los cambios hagan efecto.

 

En caso de presentar algu tipo de indisponibilidad de servicios con IIS Crypto; tambien es posible deshabilitarlo de forma manual, con los siguientes pasos:

  • Abra el editor de registro de Windows: Win + R >> regedit
  • Abra la siguientes ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\
  • Por defecto, solo debe haber una clave presentada “SSL 2.0”. Necesitamos crear uno nuevo para SSLv3. Necesitamos crear uno nuevo para SSLv3. Click derecho en Protocols >> New >> Key y le da el nombre de SSL 3.0
  • Click derecho sobre SSL 3.0 y >> New >> Key. Nombre de la llave o key Server
  • Click derecho sobre Server y >> New >> DWORD (32-bit) Value. Nombre del valor Enabled
  • Doble click en Enabled y verifique que el valor sea cero (0).
  • Guardamos los casos y actualizamos politicas “gpupdate /force”

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like