Hintergrund
Robot [1] ist ein Angriff, der die TLS-RSA-Schlüssel Börse beeinflusst und zur Entschlüsselung von Gefangenen Sitzungen führen könnte, wenn der TLS-Server, der ursprünglich dieser Gefangenen Sitzung diente, noch am Leben ist, verwundbar ist und den gleichen privaten Schlüssel verwendet.
Exposition
SSL-Entschlüsselung und globalprotect sind anfällig für dieses Problem. OIhre Ingenieure arbeiten an einer Software-Lösung. Wir empfehlen Kunden, die Pan-OS betreiben, auf eine feste Version der Software zu aktualisieren oder das Content Update 757 zu verwenden, und weitere abmilderungen durch die unten beschriebenen Konfigurationsänderungen unter "abmilderungen" zu implementieren. Zu den von Pan-OS beeinflussten Releases gehören 6.1.19 und Prior, 7.1.14 und Prior, 8.0.6-H3 und Prior.
Fix und Mitigations
Software Update
Pan-OS 6.1.20 und neuere, 7.1.15 und neuere, und 8.0.7 und neuere sind behoben. Kunden, die dieser Verwundbarkeit ausgesetzt sind, werden aufgefordert, auf eine korrigierte Version von Pan-OS zu aktualisieren.
Content Update
Palo Alto Networks hat das Content Update 757 veröffentlicht, das eine Verwundbarkeits Unterschrift enthält ("TLS Network Security Protokoll Information Disclosure Verwundbarkeit – Robot", #38407), die als zwischen Minderung zum Schutz von Pan-OS-Geräten verwendet werden kann, bis die Software aufgerüstet wird. Zum vollständigen Schutz müssen Signatur-#38407 stromaufwärts von allen Schnittstellen, die SSL-Entschlüsselung implementieren, oder dem Hosting eines globalprotect-Portals oder eines globalprotect-Gateway angewendet werden.
SSL-Entschlüsselungs Minderung
Kunden, die Pan-OS 7,1 oder später betreiben, können Ihre SSL-Entschlüsselungs Profile konfigurieren, um RSA zu deaktivieren.
Globalprotect Mitigation
Wenn das globalprotect-Server-Zertifikat RSA verwendet, können Kunden, die Pan-OS 7,1 oder später laufen, sich dafür entscheiden, dieses Zertifikat durch eine Implementierung des eliptic Curve DSA-Algorithmus als sicherere Alternative zu ersetzen.
Hinweis: eine Pan-OS 7,1 bekannte Ausgabe verhindert richtig formatierte ECDSA CSR. Damit könnte auch das Global Protect ECDSA-Zertifikat generiert werden:
- auf dem Gerät durch den vorübergehenden Import der Enterprise Certificate Authority in Pan-OS; Oder
- auf externem Unternehmen PKI-System dann in Pan-OS zusammen mit seinem privaten Schlüssel importiert.
Referenz
[1] https://robotattack.org/