Descripción: El servidor admite el uso de cifrados SSL de fuerza media. Cualquier encriptación que usa longitudes de clave entre 64 bits y 112 bits, o que usa el conjunto de encriptación 3DES se considera cifrado de fuerza a media.

Hay que tener en cuenta que para un atacante es más fácil eludir el cifrado de potencia media si este está dentro de la red física.

CVE: CVE-2016-2183
Factor de Riesgo: media
Valor CVSS Base:
5.0

Solución: Reconfigure la aplicación afectada si es posible para evitar el uso de cifrados de fuerza media.

  • APACHE

Agregue la siguiente configuración en el archivo security.conf para aplicar globalmente o al host virtual:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
SSLCompression off
  • IIS

El artículo de Microsoft Knowledge Base “Cómo restringir el uso de ciertos algoritmos y protocolos criptográficos en Schannel.dll” describe cómo habilitar solo los algoritmos FIPS 140, como a continuación se indica:

Deshabilitar cifrados débiles

Abra el registro editor y localice:
HKLMSYSTEMCurrentControlSetControlSecurityProviders

Establezca “Enabled” dword a “0x0” para el siguiente registro de llaves:

SCHANNELCiphersRC4 128/128
SCHANNELCiphersRC2 128/128
SCHANNELCiphersRC4 64/128
SCHANNELCiphersRC4 56/128
SCHANNELCiphersRC2 56/128
SCHANNELCiphersRC4 40/128
SCHANNELCiphersRC2 40/128
SCHANNELCiphersNULL
SCHANNELHashesMD5

Habilitar cifrados fuertes

Abra el registro editor y localice:

HKLMSYSTEMCurrentControlSetControlSecurityProviders

Establezca “Enabled” dword a “0xffffffff” para el siguiente registro de llaves:

SCHANNELCiphersTriple DES 168/168
SCHANNELHashesSHA
SCHANNELKeyExchangeAlgorithmsPKCS

Si la palabra habilitada aún no existe, cree la palabra y establezca el valor en “0x0” o “0xffffffff” según sea necesario.

Referencias

https://www.tenable.com/plugins/nessus/42873

https://www.tenable.com/cve/CVE-2016-2183

https://www.hedgehogsecurity.co.uk/remediation-guides/2019/1/19/fixing-ssl-medium-strength-cipher-suites-supported

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like