深信服漏洞扫描系统(基线核查)执行漏扫任务,检测出华三 F5060 防火墙存在CVE 2015-0204,CVE 1999-0524漏洞,处理过程记录。
SSL/TLS:已弃用的TLSv1.0和TLSv1.1协议检测(CVE-2015-0204)
漏洞描述:
CVE-2015-0204:OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等. OpenSSL的s3_clnt.c文件中的‘ssl3_get_key_exchange’函数存在安全漏洞.远程攻击者可通过提供临时的RSA密钥利用该漏洞实施RSA-to-EXPORT_RSA降级攻击,加快暴力破解进度.以下版本受到影响:OpenSSL 0.9.8zd之前版本,1.0.0p之前1.0.0版本,1.0.1k之前1.0.1版本.
分析处理:
- 根据描述是某些 TLS 版本存在该漏洞,那么解决思路就指向:把这些有漏洞的 TLS 版本不启用不就完事了。事实也是如此
- 待按步骤操作完后,iNode 客户端就拨不上了(配置了 SSLVPN 服务),提示找不到网关
- 起初以为是加密套件去掉的太多了(还有其他漏洞,诸如:CVE-2002-20001,CVE-2016-2183,CVE-2016-2183,,CVE-2016-6329,CVE-2013-2566,CVE-2015-2808, CVE-2015-4000,CVE-2015-0204),处理上面这些漏洞,看着漏洞描述去除了一些加密套件
- 又把这些去掉的加密套件加上测试了一轮,客户端还是拨号失败,直到把 TLS 1.0 加上,拨上了。
- 问题指向了 iNode 客户端,经过上官网下载最新版 iNode 定制了一个新版本客户端,无意中发现有个 TLS 版本的选项(只有TLS 1.0 和 TLS1.2可选),瞬间拨云见雾
- 大概率是这个防火墙自带的客户端版本默认使用了 TLS 1.0,而这个TLS 1.0 刚好处在漏洞描述中的受影响版本内
- 一轮操作后,漏扫设备不再检测出这个漏洞
ICMP权限许可和访问控制问题漏洞(CVE-1999-0524)
漏洞描述:
ICMP信息如netmask和timestamp允许任意主机访问.
分析处理:
根据描述,此漏洞属于信息级别,不在低危漏洞及以上范围
网络上已经有很多文章描述和处理这个漏洞
按照这个时间看,
1999年 CVE 收录和确认的漏洞,为什么过了20年 ICMP 协议还不处理?亦或是无法处理?解决方法有两个
- 配置一条安全策略阻断攻击者发送的 ICMP TYPE 13 CODE0 和 ICMP TYPE 17 CODE 0 的报文到达设备
- 配置高级 ACL 阻断攻击者发送的 ICMP TYPE 13 CODE0 和 ICMP TYPE 17 CODE 0 的报文到达设备
防火墙的本地IP地址有多个,使用 ACL 的话会繁琐,所以配置了安全策略
交换机和路由器设备,可以使用配置高级 ACL 的方式进行规避
1
2
3
4
5
6
7
8
9
10# 配置高级 ACL
acl advanced 3456
description FIX_FOR_CVE-1999-0524
rule 0 deny icmp icmp-type timestamp-request
rule 5 deny icmp icmp-type 17 0
rule 10 permit ip
# 接口过滤调用
interface Vlan-interface XXX
packet-filter 3456 inbound hardware-count
#
