Configurando um SSH Service Profile para não utilizar a cipher vulnerável
Recentemente, o ataque SSH Terrapin (CVE-2023-48795) ganhou destaque ao visar a segurança do protocolo SSH por meio da truncagem de informações criptográficas. A falha inerente no próprio protocolo SSH afeta diversas implementações de clientes e servidores SSH, incluindo o OpenSSH, paramiko, PuTTY, KiTTY, WinSCP, libssh, libssh2, AsyncSSH, FileZilla, entre outros.
O PAN-OS que executa em todos os firewalls de próxima geração da Palo Alto Networks em sua versão 10.2 possui OpenSSH 8.0p1 e as outras versões anteriores à 10.2 também possuem versão do OpenSSH vulnerável ao ataque descrito.
Uma forma de mitigação enquanto não temos atualização endereçando o problema é configurando um SSH Service Profile para não utilizar a cipher vulnerável, ChaCha20-Poly1305. Use a cipher aes-gcm por exemplo.
Clique aqui para visualizar documentação de como criar um SSH Profile, siga o passo "Create an SSH Management Profile".
Em seguida conecte-se via ssh e reinicie o serviço com o comando: set ssh service-restart mgmt
[ssh -c chacha20-poly1305@openssh.com user@firewall]
COMENTÁRIOS