CVE-2011-3389: TLS への獣の攻撃1.0

詳細

2011では、CBC モード (CVE-2011-3389) で SSL 3.0 および TLS 1.0 プロトコルに対して攻撃 ("獣" 攻撃) が実証されました。パロアルトネットワーク製品によって開始または終了されたすべての SSL/tls 接続は、CBC モードでの tls 1.0 の使用をサポートしています。しかし、獣の影響は、スコープ内で制限されています。

パロアルトネットワークデバイス管理インターフェイス:

獣の攻撃が成功するためには、次のことが当てはまる必要があります。

1. 攻撃者は、デバイスの管理インターフェイスにアクセスできる必要があります。ネットワークセキュリティのベストプラクティスは、通常、管理インターフェイスを、運用ネットワークトラフィックから分離された専用の管理ネットワーク上でのみ公開することを要求します。
2. 被害者管理者は、SSL 3.0 および TLS 1.0 接続に対して CBC モードの使用を無効にするために更新されていないブラウザを使用している必要があります。
3. 攻撃者は、ユーザーが https 経由で同じブラウザセッション内のパロアルトネットワークデバイスの web ベースの管理インターフェイスを訪問する前に、被害者のブラウザから https サイトに特別に細工された要求を制御し、生成することができる必要がありますブラウザを閉じます。最初のステップは、2番目のステップで訪問したサイトに SSL セッションを利用するために使用される初期化ベクタ (IV) の知識を準備するために使用されます。
   注:項目3は、実際の世界のシナリオで実行することは非常に困難であり、(1) 上記が真実でない場合、問題は完全に軽減することができ、管理ネットワークと生産ネットワークが孤立していることを意味します。

GlobalProtect ポータルとゲートウェイ:

GlobalProtect クライアントからポータルへの接続と SSL VPN トンネルのゲートウェイは、GlobalProtect クライアントが web ブラウザのように IV を検出するために操作できないため、獣の攻撃に対して脆弱ではありません。

GlobalProtect ポータルが web ブラウザを介してアクセスされると、ビースト攻撃は同じ条件下で適用され、デバイス管理 GUI について上記で説明しますが、その唯一の機能は GlobalProtect クライアントをダウンロードすることです。現時点では VPN 接続は行われず、スコープは大幅に制限されています。

所有者: gwesson