Pan-OS-Exposition bei Roboter Angriff

Pan-OS-Exposition bei Roboter Angriff

21504
Created On 09/26/18 19:12 PM - Last Modified 06/13/23 03:03 AM


Resolution


Hintergrund

Robot [1] ist ein Angriff, der die TLS-RSA-Schlüssel Börse beeinflusst und zur Entschlüsselung von Gefangenen Sitzungen führen könnte, wenn der TLS-Server, der ursprünglich dieser Gefangenen Sitzung diente, noch am Leben ist, verwundbar ist und den gleichen privaten Schlüssel verwendet.

 

Exposition

SSL-Entschlüsselung und globalprotect sind anfällig für dieses Problem. OIhre Ingenieure arbeiten an einer Software-Lösung. Wir empfehlen Kunden, die Pan-OS betreiben, auf eine feste Version der Software zu aktualisieren oder das Content Update 757 zu verwenden, und weitere abmilderungen durch die unten beschriebenen Konfigurationsänderungen unter "abmilderungen" zu implementieren. Zu den von Pan-OS beeinflussten Releases gehören 6.1.19 und Prior, 7.1.14 und Prior, 8.0.6-H3 und Prior.

 

Fix und Mitigations

Software Update

Pan-OS 6.1.20 und neuere, 7.1.15 und neuere, und 8.0.7 und neuere sind behoben. Kunden, die dieser Verwundbarkeit ausgesetzt sind, werden aufgefordert, auf eine korrigierte Version von Pan-OS zu aktualisieren.

 

Content Update

Palo Alto Networks hat das Content Update 757 veröffentlicht, das eine Verwundbarkeits Unterschrift enthält ("TLS Network Security Protokoll Information Disclosure Verwundbarkeit – Robot", #38407), die als zwischen Minderung zum Schutz von Pan-OS-Geräten verwendet werden kann, bis die Software aufgerüstet wird. Zum vollständigen Schutz müssen Signatur-#38407 stromaufwärts von allen Schnittstellen, die SSL-Entschlüsselung implementieren, oder dem Hosting eines globalprotect-Portals oder eines globalprotect-Gateway angewendet werden.

 

SSL-Entschlüsselungs Minderung

Kunden, die Pan-OS 7,1 oder später betreiben, können Ihre SSL-Entschlüsselungs Profile konfigurieren, um RSA zu deaktivieren.

Screenshot 2017-12-21 um 9.52.07 Uhr. png

 

Globalprotect Mitigation

Wenn das globalprotect-Server-Zertifikat RSA verwendet, können Kunden, die Pan-OS 7,1 oder später laufen, sich dafür entscheiden, dieses Zertifikat durch eine Implementierung des eliptic Curve DSA-Algorithmus als sicherere Alternative zu ersetzen.

Hinweis: eine Pan-OS 7,1 bekannte Ausgabe verhindert richtig formatierte ECDSA CSR. Damit könnte auch das Global Protect ECDSA-Zertifikat generiert werden:

  • auf dem Gerät durch den vorübergehenden Import der Enterprise Certificate Authority in Pan-OS; Oder
  • auf externem Unternehmen PKI-System dann in Pan-OS zusammen mit seinem privaten Schlüssel importiert.

Screenshot 2017-12-20 um 1.02.01 Uhr. png

 

Referenz

[1] https://robotattack.org/

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm2tCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language