Cómo deshabilitar DHE el algoritmo clave para mitigar el ataque de mapache (CVE-2020-1968)

• El cliente que utiliza cualquiera de las versiones 8.1, 9.0 y 9.1 debe considerar deshabilitar DHE el algoritmo clave para mitigar el ataque de mapache (-1968), si él o ella está utilizando una de PAN-OS las características (CVE-2020La interfaz web / Portal / Puerta de enlace / GlobalProtect GlobalProtect GlobalProtect Sin clienteVPN).PAN-OS PAN-OS
• Palo Alto Networks ha lanzado una opción para deshabilitar DHE el algoritmo clave con el fin de mitigar el ataque de mapache (CVE-2020-1968) para cualquiera de las características enumeradas anteriormente.
• Para que la opción surta efecto en la interfaz web, la PAN-OS versión debe actualizarse a 8.1.20 / 9.0.11 / 9.1.5. En las versiones anteriores a 8.1.20 / 9.0.11 / 9.1.5, la opción funciona para las PAN-OS GlobalProtect características pero no para la interfaz web.
• Si el cliente usa PAN-OS 10.0 y versiones posteriores PAN-OS , no necesita considerar DHE deshabilitar el algoritmo de clave, ya que esas versiones no están afectadas por la vulnerabilidad.
• Si el cliente está utilizando el certificado predeterminado para la interfaz web con cualquiera de las versiones 8.1, 9.0 y PAN-OS 9.1, PAN-OS el cliente debe seguir Cómo configurar A el certificado para acceso webGUI seguro antes de realizar los pasos de esta base de conocimiento porque "/TLS perfil de servicio"SSL es necesario para la opción de deshabilitar DHE el algoritmo de PAN-OS clave.

• PANOS 8.1
• PANOS 9.0
• PANOS 9,1

• Si el cliente está utilizando cualquiera de las versiones 8.1, 9.0 y 9.1, para deshabilitar DHE el algoritmo de clave, PAN-OS puede ejecutar en el siguiente comando en la interfaz de PAN-OS línea de comandos administrativos con el modo ON de PAN-OS configuración y PAN-OS confirmar el cambio. En todos los ejemplos, el nombre del SSLperfil /TLS service es management_tls_profile.  

set shared ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• Si el cliente tiene el certificado en la implementación de varias vsys, el comando de ejemplo para deshabilitar DHE el algoritmo de clave se encuentra a continuación.

set vsys vsys1 ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• Para proteger la propia interfaz web, el comando de ejemplo para deshabilitar DHE el Panorama algoritmo de clave se encuentra a continuación

set panorama ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• Para actualizar las plantillas en Panorama, el comando de ejemplo para deshabilitar DHE el algoritmo de clave se encuentra a continuación

set template <template name> config shared ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• El cliente puede obtener el nombre del perfil / SSLTLS servicio de la siguiente manera.

admin@Lab98-31-PA-5250# show shared ssl-tls-service-profile
ssl-tls-service-profile {
  management_tls_profile {
    protocol-settings {
      min-version tls1-2;
      max-version max;
      keyxchg-algo-dhe no;
    }
    certificate management;
  }
}
[edit]

• El cliente puede probar si DHE el algoritmo clave está deshabilitado correctamente en su PAN-OS implementación mediante el siguiente comando.

root@remnux:~# nmap --script ssl-enum-ciphers -p 443 <ip address>

Starting Nmap 7.60 ( https://nmap.org ) at 2021-11-01 02:38 EDT
Stats: 0:00:00 elapsed; 0 hosts completed (0 up), 1 undergoing Ping Scan
Ping Scan Timing: About 100.00% done; ETC: 02:38 (0:00:00 remaining)
Nmap scan report for 10.137.98.31
Host is up (0.00085s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.90 seconds

• Si DHE el algoritmo de clave está NOT deshabilitado correctamente en la PAN-OS implementación, el resultado es el siguiente.

root@remnux:~# nmap --script ssl-enum-ciphers -p 443 <ip address>

Starting Nmap 7.60 ( https://nmap.org ) at 2021-10-31 23:58 EDT
Nmap scan report for 10.137.98.31
Host is up (0.00086s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.99 seconds

• Puede ver que la salida del primer comando no contiene DHE algoritmos clave. ( ej."TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256)