CVE-2011-3389: el ataque de la bestia a TLS 1,0

CVE-2011-3389: el ataque de la bestia a TLS 1,0

36883
Created On 09/26/18 13:44 PM - Last Modified 06/06/23 19:47 PM


Resolution


Detalles

En 2011, se demostró un ataque (el ataque "bestia") contra el protocolo SSL 3,0 y TLS 1,0 en el modo CBC (CVE-2011-3389). Todas las conexiones SSL/TLS iniciadas o terminadas por Palo Alto Networks Products admiten el uso de TLS 1,0 con el modo CBC. Sin embargo, el impacto de la bestia es limitado en alcance.

Interfaces de administración de dispositivos de Palo Alto Networks:

Para que el ataque de la bestia sea exitoso, lo siguiente debe ser verdadero:

  1. El atacante debe tener acceso a la interfaz de administración del dispositivo. Las mejores prácticas de seguridad de red normalmente exigen que la interfaz de administración sólo se exponga en una red de administración dedicada, aislada del tráfico de red de producción.
  2. El administrador de víctimas debe estar usando un navegador que no ha sido actualizado para deshabilitar el uso del modo CBC para conexiones SSL 3,0 y TLS 1,0.
  3. Un atacante debe ser capaz de controlar y generar peticiones específicamente diseñadas desde el navegador de la víctima a un sitio https antes de que el usuario también visite la interfaz de administración basada en Web de dispositivos de Palo Alto Networks dentro de la misma sesión de navegador a través de HTTPS, sin cerrando el navegador. El primer paso se utiliza para preparar el conocimiento del vector de inicialización (IV), que se utiliza para explotar la sesión SSL al sitio visitado en el segundo paso.
    Nota: el     punto 3, es muy difícil de realizar en un escenario de mundo real, y el problema puede ser completamente mitigado si (1) arriba no es cierto, lo que significa que la red de gestión y la red de producción están aislados.


Portales y gateways GlobalProtect:

Las conexiones del cliente GlobalProtect al portal y al gateway para los túneles VPN SSL no son vulnerables al ataque de la bestia, ya que el cliente GlobalProtect no puede ser manipulado para descubrir el IV como un navegador web.

Cuando se accede al portal GlobalProtect a través de un navegador web, el ataque de bestias se aplica bajo las mismas condiciones descritas anteriormente para la GUI de administración de dispositivos, sin embargo, su única función es descargar el cliente GlobalProtect. No se realiza ninguna conexión VPN en este momento, y el alcance es significativamente limitado.

Propietario: gwesson
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmDCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language