Обнаружение уязвимости типа CVE-2002-20001 при сканировании NGFW UserGate сторонними сканерами.

ID статьи: 928
Последнее обновление: 07 мар, 2024
Product: UserGate NGFW
Version: 6.x, 7.x

Задача

Сканирование NGFW UserGate сторонними сканерами показывает открытую уязвимость типа CVE-2002-20001 Diffie-Hellman Ephemeral Key Exchange DoS Vulnerability (SSL/TLS, D(HE)ater). Как устранить?  

Решение

Уязвимость CVE-2002-20001 Diffie-Hellman Ephemeral Key Exchange DoS Vulnerability (SSL/TLS, D(HE)ater) использует механизм реализации протокола обмена ключами Diffie-Hellman Key Exchange (DHE). Злоумышленник со стороны клиента может отправлять на сервер произвольную последовательность под видом открытого ключа, вызывая повышение загрузки CPU сервера вычислениями протокола DHE. Согласно методике оценки уязвимостей (CVSS) она имеет высокую, но не критичную оценку (7.5) и влияет на доступность ресурса, при этом конфиденциальность данных и целостность ресурса не находятся под угрозой. Эффективность потенциальной атаки с использованием этой уязвимости во многом зависит от типа используемого криптографического протокола, конкретной реализации системной библиотеки, а также размера ключа, используемого во время обмена ключами. В базовым сценарии атаки клиент запрашивает использование только протокола DHE и максимально возможную длину ключа.

В решениях UserGate используется протокол DHE. Анализ воздействия уязвимости на конкретную реализацию DHE в оборудовании UserGate не показал ее влияния на производительность. В качестве дополнительных мер безопасности можно сделать следующее:

  • Отключить протокол DHE в настройках используемых профилей SSL для удаленного доступа к устройству. Вместо DHE могут использоваться протоколы RSA (для поддержки устаревших приложений) и/или ECDHE.

  • Ограничить количество и тип DH групп в настройках профилей безопасности VPN только реально используемыми.   

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 928
Последнее обновление: 07 мар, 2024
Ревизия: 1
Просмотры: 1201
Комментарии: 0
Теги