Nmap muestra que CCM es susceptible al ataque SWEET32

Opciones de descarga

  • PDF     (251.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (256.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (147.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:25 de septiembre de 2017
ID del documento:212151

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe un problema en el que Nmap muestra que Cisco Call Manager (CCM) es susceptible al ataque SWEET32.

        

    Problema

    Cuando ejecuta Nmap 4.70+, aparece mensajes de advertencia sobre Triple estándar de cifrado de datos (3DES) e IDEA que muestran que es vulnerable a SWEET32.

    nmap -sV --script ssl-enum-ciphers -p 443 <ip_of_ccm>

    Se ha encontrado que los cifrados de 64 bits de la semana son susceptibles a un ataque conocido como Sweet32. Las nuevas versiones de Nmap incluirán una comprobación para ver si se ha habilitado algún cifrado que sea susceptible. Debido a esto, al ejecutar el escaneo Nmap en el CCM, se muestra esta advertencia:

    64-bit block cipher 3DES vulnerable to SWEET32 attack

    64-bit block cipher IDEA vulnerable to SWEET32 attack

    Solución

    Este problema no se relaciona directamente con CloudCenter, sino con el servidor Tomcat que utiliza CloudCenter. Debe tenerse en cuenta que el análisis de Nmap no indica que la máquina virtual (VM) sea vulnerable al ataque, sino que simplemente afirma que utiliza un cifrado vulnerable. Hay otras variables que se requieren para que este ataque tenga éxito que Nmap no prueba.

    Una entrada principal; A este respecto, se ha creado el CORE-15086. La solución aún está en proceso y la versión de OpenSSL 1.1.0+ se actualiza, lo que a su vez corregirá el defecto.

    Engineering ha declarado que el mensaje de error se puede ignorar de forma segura; sin embargo, hay una solución temporal si es necesario.

    Secure Shell (SSH) en el CCM.

    Abra /usr/local/tomcat/conf/server.xml.

    Desplácese hacia abajo hasta que encuentre la sección que comienza con <Connector port="10443".

    La línea que comienza con SSLCipherSuite= enumera los cifrados permitidos y no permitidos.

    Al final de cada una de esas líneas añádase: !3DES:!IDEA  

    Después de iniciar Tomcat, ya no se utilizarán 3DES e IDEA, así que ¿el Nmap? el análisis ya no notificará ninguna advertencia.

    Nota: No se ha probado la compatibilidad de esta solución alternativa y es posible que algunos usuarios ya no puedan conectarse a la interfaz de usuario de CCM. Es posible que los usuarios con Windows XP y los que ejecutan IE v8 ya no puedan conectarse. Sin embargo, no se ha probado.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jesse Lafuenti
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos