POODLE DE SSLV3 Este reporte identifica a los hosts que permiten el uso de SSL v3.0 con el modo de cifrado CBC (cipher-block chaining) que es vulnerable al ataque POODLE (Padding Oracle On Downgraded Legacy Encryption). Esta vulnerabilidad de SSL v3.0 se deriva de la manera en que los datos son encriptados con un algoritmo específico dentro del protocolo SSL. El ataque POODLE se aprovecha de la función de negociación para el uso de diferente versiones que se integrada en SSL/TLS, para forzar el uso de SSL v3.0 (la versión más antigua de SSL), para proceder a desencriptar el contenido de una sesión SSL. El proceso de desencripción se realiza byte por byte y generará un gran número de conexiones entre el atacante y el servidor. DETECCIÓN La prueba consiste en realizar solicitudes a direcciones IPv4 sobre el puerto 443/tcp, intentando establecer una conexión SSL. El objetivo es identificar aquellos hosts que permiten el uso de SSL v3.0 con el modo de cifrado CBC que es vulnerable al ataque POODLE. La comprobación se puede realizar en una máquina con Linux usando el siguiente comando: openssl s_client -connect [IP]:443 -ssl3 INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Field Description
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
timestamp Fecha y hora de reporte de Shadowserver en UTC+0
ip Dirección IP del host involucrado
port Puerto desde donde se obtiene la respuesta SSL
hostname DNS reverso del host involucrado
tag Etiqueta de reporte (ssl)
handshake El handshake de mayor nivel que puede ser negociado (TLSv1.2, TLSv1.1, TLSv1.0, SSLv3)
asn ASN donde se encuentra el host involucrado
geo País donde se encuentra el host involucrado
region Provincia donde se encuentra el host involucrado
city Ciudad donde se encuentra el host involucrado
cipher_suite The highest CipherSuite that was able to be negotiated
ssl_poodle “Y” indica que el dispositivo ha completado un handshake SSLv3 con cifrado CBC (Cipher-Block Chaining), el cual es vulnerable al ataque POODLE.
cert_length Longitud del certificado (1024 bit, 2048 bit, etc)
subject_common_name Common Name (CN) del certificado SSL
issuer_common_name Common Name (CN) de la entidad que ha firmado el certificado SSL
cert_issue_date Fecha desde la cual es válido el certificado SSL
cert_expiration_date Fecha en la que expira el certificado SSL
 ACCIÓN RECOMENDADA De momento no existe una solución en sí para corregir esta vulnerabilidad en SSL v3.0, pues se trata de un componente fundamental del protocolo; sin embargo, deshabilitar el soporte para SSLv3.0 es la solución más viable. De esta manera se el servidor sólo tendrá soporte para versiones más recientes como TLS1, TLSv1.1 y TLSv1.2 que no tienen esta vulnerabilidad. Además, se recomienda activar una característica en los servidores y navegadores llamada TLS_FALLBACK_SCSV, que mitigaría el ataque al parar esos intentos de que se use SSLv3 en la conexión. Si ambos la tienen activada, cualquier oferta del navegador para una versión de SSL/TLS que no sea la más moderna que soporte el servidor fallará. Esto es, si el navegador pide SSLv3 a un servidor que soporta TLS 1.2, el servidor rechazará la conexión y se evitaría así que un atacante fuerce protocolos menos seguros. Para deshabilitar el soporte de SSLv3.0 en servidores Web Apache es necesario modificar el archivo ssl.conf. En Ubuntu el archivo se encuentra en: /etc/apache2/mods-available/ssl.conf En Centos el archivo se encuentra en: /etc/httpd/conf.d/ssl.conf Dentro del archivo encontrar la directiva SSLProtocol, y modificarla para remover el soporte de SSLv3.0: Guardar y cerrar el archivo ssl.conf. Reiniciar el servicio para habilitar los cambios En Ubuntu ejecutar: “service apache2 restart” En Centos ejecutar: “service httpd restart” Enlaces de interés: https://poodlescan.shadowserver.org/ https://www.shadowserver.org/wiki/pmwiki.php/Services/Ssl-Scan https://www.us-cert.gov/ncas/alerts/TA14-290A Links de descarga:
SSLv3 - Descripción
MD5: 643a426888a1cccb64083900d2c6ef74
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT