SSL v3- en TLS v1 Protocol Weak CBC Mode Vulnerability

Downloadopties

  • PDF     (260.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (83.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (70.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 september 2019
Document-id:118518

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u Cryptor Block Chaining (CBC) Mode-coderingen op de Cisco e-mail security applicatie (ESA) moet uitschakelen. Een beveiligingsaudit/scan kan melden dat een ESA een Secure Sockets Layer (SSL) v3/Transport Layer Security (TLS) v1 Protocol Weak CBC Mode Vulnerability heeft.

Let op: als u oudere code van AsyncOS voor e-mail security gebruikt, wordt aanbevolen om te upgraden naar versie 11.0.3 of nieuwer.  Controleer de opmerkingen van Cisco Email Security Releases voor onze nieuwste versies en informatie.  Als u verdere assistentie nodig hebt bij het upgraden of uitschakelen van algoritmen, open dan een ondersteuningscase.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op AsyncOS voor E-mail security (elke herziening), een Cisco ESA en een virtuele ESA.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

  • Om te voldoen aan de Payment Card Industry Data Security Standard (PCI DSS) moeten CBC-algoritmen worden uitgeschakeld.
  • Een beveiligingsaudit/scan heeft een mogelijke kwetsbaarheid geïdentificeerd met SSL v3/TLS v1-protocollen die CBC Mode-coderingen gebruiken. 

Tip: SSL versie 3.0 (RFC-6101) is een verouderd en onveilig protocol. Er is een kwetsbaarheid in SSLv3 CVE-2014-3566 bekend als Padding Oracle On Downgraded Legacy Encryption (PODLE) aanval, Cisco bug-id CSCur27131. Het is aan te raden SSL v3 uit te schakelen terwijl u de algoritmen wijzigt en alleen TLS gebruikt en optie 3 (TLS v1) selecteert. Controleer de meegeleverde Cisco bug-id CSCur27131 voor volledige informatie.

SSL v3- en TLS v1-protocollen worden gebruikt om integriteit, authenticiteit en privacy te bieden aan andere protocollen zoals HTTP en Lichtgewicht Directory Access Protocol (LDAP). Ze bieden deze diensten met het gebruik van encryptie voor privacy, x509 certificaten voor authenticiteit, en one-way encryptie functionaliteit voor integriteit. Om gegevens te versleutelen, kunnen SSL en TLS blokalgoritmen gebruiken die versleutelingsalgoritmen zijn die slechts een vast blok van oorspronkelijke gegevens kunnen versleutelen met een versleuteld blok van dezelfde grootte. Merk op dat deze algoritmen altijd hetzelfde resulterende blok voor hetzelfde oorspronkelijke blok met gegevens zullen verkrijgen. Om een verschil in de output te bereiken, wordt de output van de encryptie XORed met nog een ander blok van de zelfde grootte bedoeld als initialiseringsvectoren (IV). CBC gebruikt één IV voor het eerste blok en het resultaat van het vorige blok voor elk volgend blok om het verschil in de output van de encryptie van het blokalgoritme te verkrijgen.

In SSL v3 en TLS v1 implementatie, de keuze CBC mode gebruik was slecht omdat het gehele verkeer een CBC sessie deelt met een enkele set van initiële IVs. De rest van de IV's zijn, zoals eerder vermeld, resultaten van de versleuteling van de vorige blokken. De volgende IV's zijn beschikbaar voor de afluisteraars. Dit staat een aanvaller met de capaciteit toe om willekeurig verkeer in de eenvoudig-tekststroom (die door de cliënt worden versleuteld) te injecteren om hun gissing van de duidelijke tekst te verifiëren die het geïnjecteerde blok voorafgaat. Als de gissing van de aanvallers correct is, dan is de output van de encryptie het zelfde voor twee blokken.

Voor lage entropiegegevens, is het mogelijk om het vlak-tekstblok met een vrij laag aantal pogingen te raden. Bijvoorbeeld, voor gegevens die 1000 mogelijkheden hebben, kan het aantal pogingen 500 zijn.

Vereisten

Er zijn verschillende voorwaarden waaraan moet worden voldaan om de exploit te laten werken:

  1. De SSL/TLS-verbinding moet gebruikmaken van een van de blokencryptie-algoritmen die CBC-modi gebruiken, zoals DES of AES. Kanalen die stream-algoritmen zoals RC4 gebruiken, zijn niet onderhevig aan de fout. Een groot deel van SSL/TLS-verbindingen maakt gebruik van RC4.
  2. De kwetsbaarheid kan alleen worden uitgebuit door iemand die gegevens onderschept via de SSL/TLS-verbinding, en ook actief nieuwe gegevens over die verbinding verstuurt. De exploitatie van de fout leidt tot beëindiging van de SSL/TLS-verbinding. De aanvaller moet nieuwe verbindingen blijven controleren en gebruiken tot er genoeg gegevens verzameld zijn om het bericht te decoderen.
  3. Aangezien de verbinding elke keer wordt beëindigd, moet de SSL/TLS-client het SSL/TLS-kanaal lang genoeg kunnen blijven herstellen om het bericht te kunnen decoderen.
  4. De toepassing moet dezelfde gegevens opnieuw verzenden over elke SSL/TLS-verbinding die het maakt en de luisteraar moet in staat zijn om deze in de gegevensstroom te vinden. Protocollen zoals IMAP/SSL die een vaste set berichten hebben om in te loggen voldoen aan deze eis. Algemene web browsing niet.

dreigement

De CBC-kwetsbaarheid is een kwetsbaarheid met TLS v1. Deze kwetsbaarheid bestaat al sinds begin 2004 en is in latere versies van TLS v1.1 en TLS v1.2 verholpen.

Voorafgaand aan AsyncOS 9.6 voor Email Security gebruikt de ESA TLS v1.0 en CBC mode-algoritmen. Met de release van AsyncOS 9.6, introduceert de ESA TLS v1.2. Toch kunnen CBC mode-algoritmen worden uitgeschakeld en alleen RC4-algoritmen worden gebruikt die niet onder de fout vallen.

Als SSLv2 is ingeschakeld, kan dit bovendien leiden tot een vals positief voor deze kwetsbaarheid. Het is van groot belang dat SSL v2 wordt uitgeschakeld.

Oplossing

Let op: als u oudere code van AsyncOS voor e-mail security gebruikt, wordt aanbevolen om te upgraden naar versie 11.0.3 of nieuwer.  Controleer de opmerkingen van Cisco Email Security Releases voor onze nieuwste versies en informatie.  Als u verdere assistentie nodig hebt bij het upgraden of uitschakelen van algoritmen, open dan een ondersteuningscase.

Schakel CBC-modusalgoritmen uit om alleen RC4-algoritmen ingeschakeld te laten. Stel het apparaat in om alleen TLS v1 of TLS v1/TLS v1.2 te gebruiken:

  1. Log in op de CLI.
  2. Voer de opdracht slconfig in.
  3. Voer de opdracht GUI in.
  4. Kies optie nummer 3 voor "TLS v1" of zoals vermeld in AsyncOS 9.6 "TLS v1/TLS v1.2".
  5. Voer dit algoritme in: 
    MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH:-EDH-RSA-DES-CBC3-SHA:-EDH-DSS-DES-CBC3-SHA:-DES-CBC3-SHA
  6. Voer de opdracht in: INKOMEND.
  7. Kies optie nummer 3 voor "TLS v1" of zoals vermeld in AsyncOS 9.6 "TLS v1/TLS v1.2".
  8. Voer dit algoritme in: 
    MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH:-EDH-RSA-DES-CBC3-SHA:-EDH-DSS-DES-CBC3-SHA:-DES-CBC3-SHA
  9. Voer de opdracht UITKOMEND in.
  10. Kies optie nummer 3 voor "TLS v1" of zoals vermeld in AsyncOS 9.6 "TLS v1/TLS v1.2".
  11. Voer dit algoritme in: 
    MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH:-EDH-RSA-DES-CBC3-SHA:-EDH-DSS-DES-CBC3-SHA:-DES-CBC3-SHA
  12. Druk op Enter tot u terugkeert naar de hostname prompt.
  13. Voer de opdracht commit in.
  14. Eindig het aangaan van uw veranderingen.

De ESA is nu zo geconfigureerd dat het alleen TLS v1, of TLSv1/TLS v1.2, met RC4-algoritmen ondersteunt, terwijl CBC-filters worden uitgeschakeld.

Hier is de lijst met gebruikte algoritmen wanneer u RC4:-SSLv2 instelt. Merk op dat er geen CBC mode-algoritmen in de lijst staan.

ECDHE-RSA-RC4-SHA SSLv3 Kx=ECDH Au=RSA Enc=RC4(128) Mac=SHA1
ECDHE-ECDSA-RC4-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=RC4(128) Mac=SHA1
ADH-RC4-MD5 SSLv3 Kx=DH Au=None Enc=RC4(128) Mac=MD5 
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5 
PSK-RC4-SHA SSLv3 Kx=PSK Au=PSK Enc=RC4(128) Mac=SHA1
EXP-ADH-RC4-MD5 SSLv3 Kx=DH(512) Au=None Enc=RC4(40) Mac=MD5 export
EXP-RC4-MD5 SSLv3 Kx=RSA(512) Au=RSA Enc=RC4(40) Mac=MD5 export

Hoewel deze exploit van zeer weinig belang is vanwege zijn complexiteit en vereisten om te exploiteren, is de uitvoering van deze stappen een grote waarborg voor de preventie van mogelijke exploits, evenals om strikte beveiligingsscans te doorstaan.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
14-Oct-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Robert Sherwin
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten