Rapid7 的 Nexpose 扫描器 SSH 使用过期的加密算法 (CVE-2017-5243)
Nexpose物理设备的SSH配置允许使用过时算法实施密钥交换等功能。因为启用了这些算法,涉及硬件设备验证的攻击很可能会成功。
我们强烈建议硬件设备所有人更新系统,通过如下“修复”部分所列步骤强化他们的SSH配置。另外,Rapid7和设备厂商要确保未来的设备仅允许所需算法运行。
这个漏洞的编号是CWE-327(使用损坏或有风险的加密算法)。鉴于物理设备的SSH连接使用的是“管理员”账户,拥有对设备的sudo访问权限。这个问题的CVSS评分是8.5。
受影响设备
所有物理的硬件设备都受影响。虚拟设备(可下载的虚拟机器)并不受影响。
漏洞详情
Nexpose物理设备
硬件设备的默认SSH配置能引发过时的可能存在问题的算法。
KEX算法
加密算法
MAC算法
这些算法受设备所使用的OpenSSH版本的支持,且应该通过启用仅允许所需算法的明确配置被禁用。
Nexpose虚拟设备
软件设备(可下载的虚拟机器)并不受影响。它们明确说明了所需算法,仅允许一般建议的算法运行。
修复
管理员应该编辑设备上的/etc/ssh/sshd_config文件,通过这里的指南包含如下代码
编辑这个文件要求获取根权限,这样设备默认的“管理员”用户或其它拥有sudo权限的用户将需要执行这个步骤。更新这个配置文件后,通过运行“服务ssh重启”重启SSH服务。
这个变化不应该影响Nexpose实例和物理设备的连接。主要的影响是通过SSH客户端支撑权限,这样它们无法使用过时算法连接到设备。如果用户的客户端选择并不支持任何所推荐的算法,那么建议寻找更加安全的选择。
另外,如果你不确定是否有最新版本的openSSH,那么应该在硬件设备上运行如下命令(以根用户权限或sudo权限)。
apt-get update && apt-get upgrade
它会更新数据包列表并安装最新版本。虽然Nexpose硬件设备确实能启用自动OS数据包更新以解决严重的安全问题,但它能确保你拥有可用的最新版本。
披露时间轴
2017年5月10日周三:将漏洞告知Rapid7
2017年5月17日周三:Rapid7确认该漏洞
2017年5月23日:Rapid7分配漏洞编号CVE-2017-5243
2017年5月31日:将漏洞告知MITRE(计划)
2017年5月31日:公开披露(计划)
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。