Vulnerabilidad de Cifrado (WEB) Administración remota - ESET Remote Administrator
Con todas estas pruebas de Seguridad para el cumplimiento de PCI, me he topado con varios problemas en herramientas que instalas y aparentemente son seguras y deberían de estar con hardening y es el caso de la Consola de Administracion de Antivirus ESET “Era”
Todo comienza cuando se instala una consola Administración remota - ESET Remote Administrator sobre Windows (Una consola Web fácil de usar para gestionar la seguridad de las endpoints, los servidores y los dispositivos móviles “Lo que dice el portal del antivirus”).
Realizando escaneos de Vulnerabilidad con OpenVas se detecta que tiene cifrados debiles:
En mi caso la consola de Administración remota - ESET Remote Administrator está instalada en Windows, por consiguiente si deseamos realizar la mitigación de los cifrados débiles, procedemos a deshabilitar en el regedit de Windows:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
De ser necesario puede deshabilitar SSLv3
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
Hecho esto debería de solucionar el problema ya no presentara la vulnerabilidad de cifrado.
Que pasa si probamos ahora como va su portal web
Sabemos de antemano que debe usar el puerto 443 https entonces enumeramos estos cifrados con nmap
nmap --script ssl-enum-ciphers -p 443 192.168.X.X
El resultado es el siguiente:
# nmap --script ssl-enum-ciphers -p 443 192.168.X.X
Starting Nmap 7.30 ( https://nmap.org ) at 2018-02-09 16:18 EST
Nmap scan report for 192.168.4.2
Host is up (0.00073s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 4096) - A
| compressors:
| NULL
| cipher preference: client
| TLSv1.1:
| ciphers:
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 4096) - A
| compressors:
| NULL
| cipher preference: client
| TLSv1.2:
| ciphers:
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 4096) - A
| compressors:
| NULL
| cipher preference: client
|_ least strength: A
Observamos que siguen utilizado TLSv1.0 y TLSv1.1, en nuestro caso nuestro deseo es deshabilitar por completó estos cifrados al menos para el servidor web, que utiliza la aplicación de Administración remota - ESET Remote Administrator
En nuestro caso como tenemos una consola Administración remota - ESET Remote Administrator, basada en Windows y corriendo un abria que ir a la siguiente ruta:
C:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\conf
Y editar el archivo
server.xmls
Buscar la línea:
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
y remplazarla por:
sslEnabledProtocols=" TLSv1.2"
Donde solo quedara habilitado el Cifrado TLSv1.2.
Con esto si correomos el enumerado de cifrados con nmap nos quedara como sigue:
USMAllInOne:~# nmap --script ssl-enum-ciphers -p 443 192.168.4.2
Starting Nmap 7.30 ( https://nmap.org ) at 2018-02-09 16:19 EST
Nmap scan report for 192.168.4.2
Host is up (0.0011s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 4096) - A
| compressors:
| NULL
| cipher preference: client
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 4.50 seconds
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
En caso de tener la maquina virtual (.ova) Era_Appliance(CentOS Linux release 7.3.1611) de las que ofrece Eset, puede que camvie la versión de CentOS, pero aplicaría lo mismo
Ingresar al sistema operativo e ir a la siguiente ruta:
/etc/tomcat
Editar el archivo:
server.xml
y cambiar la siguiente línea
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
por:
sslEnabledProtocols="TLSv1.2"
Parar el servicio del Apache Tomcat:
/bin/systemctl stop tomcat.service
Iniciar Apache Tomcat:
/bin/systemctl start tomcat.service
Si analizamos con nmap nuevamente ya no debería de estar habilitadoslos cifrados TLSv1,TLSv1.1
Todo comienza cuando se instala una consola Administración remota - ESET Remote Administrator sobre Windows (Una consola Web fácil de usar para gestionar la seguridad de las endpoints, los servidores y los dispositivos móviles “Lo que dice el portal del antivirus”).
Realizando escaneos de Vulnerabilidad con OpenVas se detecta que tiene cifrados debiles:
En mi caso la consola de Administración remota - ESET Remote Administrator está instalada en Windows, por consiguiente si deseamos realizar la mitigación de los cifrados débiles, procedemos a deshabilitar en el regedit de Windows:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
De ser necesario puede deshabilitar SSLv3
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
Hecho esto debería de solucionar el problema ya no presentara la vulnerabilidad de cifrado.
Que pasa si probamos ahora como va su portal web
Sabemos de antemano que debe usar el puerto 443 https entonces enumeramos estos cifrados con nmap
nmap --script ssl-enum-ciphers -p 443 192.168.X.X
El resultado es el siguiente:
# nmap --script ssl-enum-ciphers -p 443 192.168.X.X
Starting Nmap 7.30 ( https://nmap.org ) at 2018-02-09 16:18 EST
Nmap scan report for 192.168.4.2
Host is up (0.00073s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 4096) - A
| compressors:
| NULL
| cipher preference: client
| TLSv1.1:
| ciphers:
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 4096) - A
| compressors:
| NULL
| cipher preference: client
| TLSv1.2:
| ciphers:
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 4096) - A
| compressors:
| NULL
| cipher preference: client
|_ least strength: A
Observamos que siguen utilizado TLSv1.0 y TLSv1.1, en nuestro caso nuestro deseo es deshabilitar por completó estos cifrados al menos para el servidor web, que utiliza la aplicación de Administración remota - ESET Remote Administrator
En nuestro caso como tenemos una consola Administración remota - ESET Remote Administrator, basada en Windows y corriendo un abria que ir a la siguiente ruta:
C:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\conf
Y editar el archivo
server.xmls
Buscar la línea:
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
y remplazarla por:
sslEnabledProtocols=" TLSv1.2"
Donde solo quedara habilitado el Cifrado TLSv1.2.
Con esto si correomos el enumerado de cifrados con nmap nos quedara como sigue:
USMAllInOne:~# nmap --script ssl-enum-ciphers -p 443 192.168.4.2
Starting Nmap 7.30 ( https://nmap.org ) at 2018-02-09 16:19 EST
Nmap scan report for 192.168.4.2
Host is up (0.0011s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 4096) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 4096) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 4096) - A
| compressors:
| NULL
| cipher preference: client
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 4.50 seconds
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
En caso de tener la maquina virtual (.ova) Era_Appliance(CentOS Linux release 7.3.1611) de las que ofrece Eset, puede que camvie la versión de CentOS, pero aplicaría lo mismo
Ingresar al sistema operativo e ir a la siguiente ruta:
/etc/tomcat
Editar el archivo:
server.xml
y cambiar la siguiente línea
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
por:
sslEnabledProtocols="TLSv1.2"
Parar el servicio del Apache Tomcat:
/bin/systemctl stop tomcat.service
Iniciar Apache Tomcat:
/bin/systemctl start tomcat.service
Si analizamos con nmap nuevamente ya no debería de estar habilitadoslos cifrados TLSv1,TLSv1.1
Comentarios
Publicar un comentario