CVE-2011-3389: The Beast Attack to TLS 1,0

CVE-2011-3389: The Beast Attack to TLS 1,0

36929
Created On 09/26/18 13:44 PM - Last Modified 06/06/23 19:47 PM


Resolution


Details

In 2011 wurde ein Angriff (der "Beast"-Angriff) gegen das SSL 3,0 und TLS 1,0-Protokoll im CBC-Modus (CVE-2011-3389) demonstriert. Alle SSL/TLS-Verbindungen, die von Palo Alto Networks-Produkten initiiert oder beendet wurden, unterstützen die Verwendung von TLS 1,0 mit CBC-Modus. Die Wirkung des Tieres ist jedoch begrenzt.

Palo Alto Networks Geräte Management-Schnittstellen:

Damit der Besen Angriff erfolgreich sein konnte, muss Folgendes gelten:

  1. Der Angreifer muss Zugriff auf die Managementschnittstelle des Geräts haben. Best Practices für die Netzwerksicherheit erfordern in der Regel, dass die Managementschnittstelle nur in einem dedizierten Management-Netzwerk ausgesetzt wird, das vom Produktionsnetz Verkehr isoliert ist.
  2. Der Opfer Administrator muss einen Browser verwenden, der nicht aktualisiert wurde, um die Nutzung des CBC-Modus für SSL 3,0 und TLS 1,0-Verbindungen zu deaktivieren.
  3. Ein Angreifer muss in der Lage sein, gezielt erstellte Anfragen aus dem Browser des Opfers auf eine HTTPS-Website zu steuern und zu generieren, bevor der Nutzer auch die webbasierte Managementschnittstelle von Palo Alto Networks innerhalb derselben Browser-Session über HTTPS besucht, ohne den Browser schließen. Der erste Schritt wird verwendet, um das Wissen über den Initialisierungs-Vektor (IV) vorzubereiten, der verwendet wird, um die SSL-Sitzung zu der Website zu nutzen, die im zweiten Schritt besucht wird.
    Hinweis:     Punkt 3, ist sehr schwierig, in einem realen weltszenario durchzuführen, und das Problem kann vollständig abgemildert werden, wenn (1) oben nicht wahr ist, was bedeutet, dass das Management-Netzwerk und das Produktionsnetzwerk isoliert sind.


Globalprotect Portale und Gateways:

Verbindungen vom globalprotect-Client zum Portal und zum Gateway für SSL-VPN-Tunnel sind nicht anfällig für den Beast-Angriff, da der globalprotect-Client nicht manipuliert werden kann, um die IV wie einen Webbrowser zu entdecken.

Wenn das globalprotect-Portal über einen Webbrowser abgerufen wird, gilt der Beast-Angriff unter den gleichen Bedingungen und oben für die Device-Management-GUI beschrieben, aber seine einzige Funktion ist es, den globalprotect-Client herunterzuladen. Zu diesem Zeitpunkt wird keine VPN-Verbindung hergestellt, und der Umfang ist erheblich begrenzt.

Besitzer: Gwesson
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmDCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language