Comment désactiver DHE l’algorithme clé afin d’atténuer l’attaque du raton laveur (CVE-2020-1968)

• Le client utilisant l’une des versions 8.1, 9.0 et 9.1 doit envisager de désactiver DHE l’algorithme clé afin d’atténuer l’attaque du raton laveur (-1968), s’il utilise l’une des PAN-OS fonctionnalités (CVE-2020L’interface Web / Portail / Passerelle / GlobalProtect GlobalProtect GlobalProtect Clientless VPN).PAN-OS PAN-OS
• Palo Alto Networks a publié une option pour désactiver DHE l’algorithme clé afin d’atténuer l’attaque du raton laveur (CVE-2020-1968) pour l’une des fonctionnalités énumérées ci-dessus.
• Pour que l’option prenne effet sur l’interface Web, la PAN-OS version doit être mise à niveau vers 8.1.20 / 9.0.11 / 9.1.5. Dans les versions antérieures à 8.1.20 / 9.0.11 / 9.1.5, l’option fonctionne pour les PAN-OS GlobalProtect fonctionnalités mais pas pour l’interface Web.
• Si le client utilise PAN-OS la version 10.0 et les versions ultérieures PAN-OS , il n'a pas besoin d'envisager de désactiver DHE l'algorithme de clé, car ces versions ne sont pas affectées par la vulnérabilité.
• Si le client utilise le certificat par défaut de l’interface Web avec l’une des versions 8.1, 9.0 et PAN-OS 9.1, il doit suivre Comment configurer A le certificat pour un accès WebGUI sécurisé avant d’effectuer les étapes de cette base de connaissances, PAN-OS car «SSL /TLS profil de service » est nécessaire pour l’option permettant de désactiver DHE l’algorithme PAN-OS de clé.

• PANOS 8.1
• PANOS 9.0
• PANOS 9,1

• Si le client utilise l’une des versions 8.1, 9.0 et 9.1, afin de désactiver DHE l’algorithme de clé, PAN-OS il ou elle peut exécuter la commande ci-dessous dans l’interface PAN-OS de ligne de commande administrative avec le mode ON de PAN-OS configuration et PAN-OS valider la modification. Dans tous les exemples, le SSLnom du profil /TLS service est management_tls_profile.  

set shared ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• Si le client dispose du certificat sous déploiement multi-vsys, l’exemple de commande pour désactiver DHE l’algorithme de clé est ci-dessous.

set vsys vsys1 ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• Pour protéger l’interface Web elle-même, l’exemple de commande pour désactiver DHE l’algorithme Panorama de clé est ci-dessous

set panorama ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• Pour mettre à jour les modèles sur Panorama, l’exemple de commande permettant de désactiver DHE l’algorithme de clé est ci-dessous

set template <template name> config shared ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• Le client peut obtenir le nom du SSLprofil /TLS service comme suit.

admin@Lab98-31-PA-5250# show shared ssl-tls-service-profile
ssl-tls-service-profile {
  management_tls_profile {
    protocol-settings {
      min-version tls1-2;
      max-version max;
      keyxchg-algo-dhe no;
    }
    certificate management;
  }
}
[edit]

• Le client peut tester pour voir si DHE l’algorithme de clé est correctement désactivé lors PAN-OS de son déploiement par la commande ci-dessous.

root@remnux:~# nmap --script ssl-enum-ciphers -p 443 <ip address>

Starting Nmap 7.60 ( https://nmap.org ) at 2021-11-01 02:38 EDT
Stats: 0:00:00 elapsed; 0 hosts completed (0 up), 1 undergoing Ping Scan
Ping Scan Timing: About 100.00% done; ETC: 02:38 (0:00:00 remaining)
Nmap scan report for 10.137.98.31
Host is up (0.00085s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.90 seconds

• Si DHE l’algorithme de clé est correctement désactivé sur le déploiement, le résultat est NOT le PAN-OS suivant.

root@remnux:~# nmap --script ssl-enum-ciphers -p 443 <ip address>

Starting Nmap 7.60 ( https://nmap.org ) at 2021-10-31 23:58 EDT
Nmap scan report for 10.137.98.31
Host is up (0.00086s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.99 seconds

• Vous pouvez voir que la sortie de la première commande ne contient pas d DHE 'algorithmes de clé. ( ex. « TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256)