Cisco Nexus Dashboard - застосунок для керування мережами на основі комутаторів Cisco Nexus, виявлення проблем та оцінювання їхнього споживання та ефективності.
Його користувачами можуть бути власники дата-центрів, інформаційні мережі яких використовують пристрої Cisco Nexus.
Опишіть знайдену вразливість.
Уразливість у реалізації SSL/TLS у Cisco Nexus Dashboard могла дозволити неавтентифікованому віддаленому зловмиснику змінювати комунікації з пов’язаними контролерами або переглянути конфіденційну інформацію.
Ця вразливість існує через те, що сертифікати сервера SSL не перевіряються, коли Cisco Nexus Dashboard встановлює з’єднання з Cisco Application Policy Infrastructure Controller (APIC), Cisco Cloud APIC або Cisco Nexus Dashboard Fabric Controller, раніше — контролерами Data Center Network Manager (DCNM).
Зловмисник може використати цю вразливість, використовуючи методи "людина посередині" (man-in-the-middle), щоб перехопити трафік між ураженим пристроєм і контролерами, а потім використати підроблений сертифікат, щоб видати себе за контролери. Успішне використання вразливості може дозволити зловмиснику змінити зв’язок між пристроями або переглянути конфіденційну інформацію, включаючи облікові дані адміністратора для цих контролерів.
Наведіть фрагменти прикладів уразливого програмного коду, розглянувши розділ
References to Advisories, Solutions, and Tools.
Програмний код із вразливістю був включений до програмного забезпечення Cisco, що має закритий вихідний код. Для виправлення вразливості рекомендується оновити Nexus Dashboard до версії 2.2 або новіше.
Розшифруйте абревіатурну назву криптографічного алгоритму та режиму
шифрування, а також вкажіть роки їх створення.
des-ede3-cbc - алгоритм шифрування, що включає:
DES - Шифрування алгоритмом DES (Data Encryption Standard);
EDE3 - використання DES у 3 етапи (E, D, E - encrypt-decrypt-encrypt, зашифровка-дешифровка-зашифровка) з різним ключем на кожному етапі;
CBC - Режим послідовного блочного шифрування (Cipher Block Chaining).
Алгоритм DES розроблено в ранніх 1970х в компанії IBM, а використання його в три етапи вперше запропоновано у 1978. Через вразливість, знайдену в шифрі у 2016 році, NIST пропонувала замінити алгоритм більш актуальними новим застосунків у 2017, та всім - до кінця 2023.
Cipher Block Chaining - один з найстаріших режимів роботи блокових шифрів, у використанні з 1981 року.
Опишіть переваги та недоліки криптографічного алгоритму та режиму шифрування.
Алгоритм DES, завдяки простоті, працював швидше на більшості апаратного запезпечення, що в свої часи було обмеженим. У трьохетапних варіантів із різними ключами шифрування сумарна довжина ключа - 168, що зробило його безпечнішим, хоча й повільнішим.
Але його використання не рекомендується, оскільки у одноетапного DES мала довжина ключа у 56 біт, що спрощує атаки підбором, а у потрійного DES у режимі CBC було знайдено вразливість, відому як атака Sweet32: https://nvd.nist.gov/vuln/detail/CVE-2016-2183
Режим шифрування CBC при використанні блокового шифру дозволяє:
здійснювати дешифрування (але не шифрування) з паралельною обробкою даних;
збільшити безпечність порівняно з режимом ECB (Electronic Cookbook), ускладнюючи криптоаналіз;
використовувати шифр в якості механізму автентифікації/підписів.
Із недоліків - неможливість паралельного шифрування (хоча дешифрування, знову ж, можливе), та необхідність розширення вихідного повідомлення, щоб довжина була кратна розміру блоку.
oleksandrblazhko
commented
9 months ago
Завдання 1
Застосунок, де знайдена вразливість: https://www.cisco.com/site/us/en/products/networking/cloud-networking/nexus-platform/index.html
Cisco Nexus Dashboard - застосунок для керування мережами на основі комутаторів Cisco Nexus, виявлення проблем та оцінювання їхнього споживання та ефективності.
Його користувачами можуть бути власники дата-центрів, інформаційні мережі яких використовують пристрої Cisco Nexus.
Уразливість у реалізації SSL/TLS у Cisco Nexus Dashboard могла дозволити неавтентифікованому віддаленому зловмиснику змінювати комунікації з пов’язаними контролерами або переглянути конфіденційну інформацію.
Ця вразливість існує через те, що сертифікати сервера SSL не перевіряються, коли Cisco Nexus Dashboard встановлює з’єднання з Cisco Application Policy Infrastructure Controller (APIC), Cisco Cloud APIC або Cisco Nexus Dashboard Fabric Controller, раніше — контролерами Data Center Network Manager (DCNM).
Зловмисник може використати цю вразливість, використовуючи методи "людина посередині" (man-in-the-middle), щоб перехопити трафік між ураженим пристроєм і контролерами, а потім використати підроблений сертифікат, щоб видати себе за контролери. Успішне використання вразливості може дозволити зловмиснику змінити зв’язок між пристроями або переглянути конфіденційну інформацію, включаючи облікові дані адміністратора для цих контролерів.
Програмний код із вразливістю був включений до програмного забезпечення Cisco, що має закритий вихідний код. Для виправлення вразливості рекомендується оновити Nexus Dashboard до версії 2.2 або новіше.
Посилання на рекомендації від виробника: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nd-tlsvld-TbAQLp3N
Завдання 2
des-ede3-cbc- алгоритм шифрування, що включає:Алгоритм DES розроблено в ранніх 1970х в компанії IBM, а використання його в три етапи вперше запропоновано у 1978. Через вразливість, знайдену в шифрі у 2016 році, NIST пропонувала замінити алгоритм більш актуальними новим застосунків у 2017, та всім - до кінця 2023.
Cipher Block Chaining - один з найстаріших режимів роботи блокових шифрів, у використанні з 1981 року.
Алгоритм DES, завдяки простоті, працював швидше на більшості апаратного запезпечення, що в свої часи було обмеженим. У трьохетапних варіантів із різними ключами шифрування сумарна довжина ключа - 168, що зробило його безпечнішим, хоча й повільнішим.
Але його використання не рекомендується, оскільки у одноетапного DES мала довжина ключа у 56 біт, що спрощує атаки підбором, а у потрійного DES у режимі CBC було знайдено вразливість, відому як атака Sweet32: https://nvd.nist.gov/vuln/detail/CVE-2016-2183
Режим шифрування CBC при використанні блокового шифру дозволяє:
Із недоліків - неможливість паралельного шифрування (хоча дешифрування, знову ж, можливе), та необхідність розширення вихідного повідомлення, щоб довжина була кратна розміру блоку.