DotW : SSLv2 faible RSA Cipher détecté - noyer de vulnérabilité

Dernièrement, nous avons vu plus d'activité dans la Communauté au sujet de la SSLv2 faible cryptage RSA détecté-noyade problème de vulnérabilité récemment découvert.

Le starter de discussion suivant du membre santonic demande si PA couvre l'attaque de
noyade.

Est-ce que les réseaux de Palo Alto détectent l' attaque noyée/vulnérabilité?  Il s'agit d'une question courante qui est affichée sur la communauté Live. La réponse est à la fois oui et no 

Laisse-moi t'expliquer :

Palo Alto Networks est capable de détecter l’utilisation d’algorithmes de chiffrement faibles SSLv2, qui utilise l’attaque se NOIENT. Donc, il ne détecte pas directement la vulnérabilité / d’attaque se NOIENT, mais au lieu de cela, il utilise simplement les chiffrements faibles SSLv2.  En bloquant les chiffrements faibles SSLv2, vous permet de bloquer l’attaque se NOIENT, mais vous pourriez aussi être bloquant le trafic légitime ainsi.

L’autre bonne nouvelle est oui, Palo Alto Networks a eu cette couverture, à détecter l’utilisation d’algorithmes de chiffrement faibles SSLv2, depuis la version Apps et menaces 567, qui a été publiée le 10 mars 2016.

Pour lire les notes de publication de cette version des applications et des menaces, cliquez ici: notes de version
567 de l'application et du contenu de la menace

Vous pouvez obtenir plus d'informations sur cette vulnérabilité à partir de notre site menace Vault ici:
https://threatvault.paloaltonetworks.com/Home/ThreatDetail/38924

Nous pouvons voir que l'ID de la signature de Palo Alto Networks est 38924, et l'action par défaut est Alert.

Vous pouvez également voir les deux CVEs répertoriés:
CVE-2016-0703
CVE- 2016-0800

Remarque: si vous souhaitez protéger votre réseau contre la vulnérabilité de chiffrement faible de SSLv2, l'action par défaut est uniquement «Alert» et non «Block». Si vous souhaitez bloquer cela à l’intérieur de votre stratégie de sécurité, alors s’il vous plaît suivez ces étapes pour s’assurer que vous êtes protégé.

Étapes de vulnérabilité block

Étape 1. Vérifiez que vous disposez des Apps et des menaces version 567 ou supérieure en allant dans l’interface WebGUI > dispositif > mises à jour dynamiques. Sous les menaces et les Applications, vérifier la version installée. Si vous voyez que c’est téléchargé, mais non installé, veuillez prendre le temps de l’installer pour continuer, sinon vous ne serez pas en mesure de le trouver dans les prochaines étapes.

Étape 2. Lorsque vous savez que vous avez installé la version 567 ou ultérieure, veuillez procéder à Objects > protection de la vulnérabilité. Là-dedans, vous devez cliquer sur le profil de vulnérabilité que vous utilisez pour protéger votre réseau.

Étape 3. Cliquez sur l’onglet Exceptions, puis cliquez sur « Afficher toutes les signatures » en bas à gauche. Maintenant, prenez l'ID de signature de plus tôt, 38924, et cliquez sur entrée pour afficher SSL version 2 faible chiffrement RSA détecté.

 Écran de profil de protection de vulnérabilité affichant les détails une fois que vous êtes en mesure de rechercher la menace ID 38924-SSL version 2 faible chiffrement RSA détectéétape 4. Cliquez maintenant sur défaut (Alert) dans le champ action et passez de default (alerte) à DROP. Cliquez sur OK, puis valider votre stratégie pour que cette modification prenne effet.

J’espère que cela vous aide à protéger votre réseau contre la vulnérabilité se noient.

S’il vous plaît laissez-nous savoir si vous avez des questions ou des commentaires ci-dessous.

Restez en sécurité,
Joe Delio