CVE-2011-3389: l'attaque de la bête à TLS 1,0

CVE-2011-3389: l'attaque de la bête à TLS 1,0

36879
Created On 09/26/18 13:44 PM - Last Modified 06/06/23 19:47 PM


Resolution


Détails

En 2011, une attaque (l'attaque «Beast») a été démontrée par rapport au protocole SSL 3,0 et TLS 1,0 en mode CBC (CVE-2011-3389). Toutes les connexions SSL/TLS lancées ou terminées par les produits de Palo Alto Networks prennent en charge l'utilisation de TLS 1,0 avec le mode CBC. Cependant, l'impact de la bête est limité dans la portée.

Interfaces de gestion de périphériques de Palo Alto Networks:

Pour que l'attaque de la bête réussisse, ce qui suit doit être vrai:

  1. L'attaquant doit avoir accès à l'interface de gestion du périphérique. Les meilleures pratiques de sécurité réseau appellent généralement l'interface de gestion à être uniquement exposée sur un réseau de gestion dédié, isolé du trafic réseau de production.
  2. L'administrateur de la victime doit utiliser un navigateur qui n'a pas été mis à jour pour désactiver l'utilisation du mode CBC pour les connexions SSL 3,0 et TLS 1,0.
  3. Un attaquant doit être en mesure de contrôler et de générer des demandes spécifiquement conçues du navigateur de la victime vers un site https avant que l'utilisateur visite également l'interface de gestion basée sur le Web de l'appareil de Palo Alto Networks au sein de la même session de navigateur sur https, sans fermer le navigateur. La première étape est utilisée pour préparer la connaissance du vecteur d'initialisation (IV), qui est utilisé pour exploiter la session SSL sur le site visité dans la deuxième étape.
    Note: l'     article 3, est très difficile à exécuter dans un scénario du monde réel, et le problème peut être complètement atténué si (1) ci-dessus n'est pas vrai, ce qui signifie le réseau de gestion et le réseau de production sont isolés.


Portails et passerelles GlobalProtect:

Les connexions du client GlobalProtect au portail et à la passerelle pour les tunnels VPN SSL ne sont pas vulnérables à l'attaque de la bête, car le client GlobalProtect ne peut pas être manipulé pour découvrir l'IV comme un navigateur Web.

Lorsque le portail GlobalProtect est accessible par le biais d'un navigateur Web, l'attaque Beast s'applique dans les mêmes conditions et décrites ci-dessus pour l'interface graphique de gestion des périphériques, mais sa seule fonction est de télécharger le client GlobalProtect. Aucune connexion VPN n'est effectuée à ce moment, et la portée est considérablement limitée.

propriétaire : gwesson
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmDCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language