Rapid7 的 Nexpose 扫描器 SSH 使用过期的加密算法 (CVE-2017-5243)

Nexpose物理设备的SSH配置允许使用过时算法实施密钥交换等功能。因为启用了这些算法，涉及硬件设备验证的攻击很可能会成功。

我们强烈建议硬件设备所有人更新系统，通过如下“修复”部分所列步骤强化他们的SSH配置。另外，Rapid7和设备厂商要确保未来的设备仅允许所需算法运行。

这个漏洞的编号是CWE-327（使用损坏或有风险的加密算法）。鉴于物理设备的SSH连接使用的是“管理员”账户，拥有对设备的sudo访问权限。这个问题的CVSS评分是8.5。

受影响设备

所有物理的硬件设备都受影响。虚拟设备（可下载的虚拟机器）并不受影响。

漏洞详情

Nexpose物理设备

硬件设备的默认SSH配置能引发过时的可能存在问题的算法。

KEX算法

加密算法

MAC算法

这些算法受设备所使用的OpenSSH版本的支持，且应该通过启用仅允许所需算法的明确配置被禁用。

Nexpose虚拟设备

软件设备（可下载的虚拟机器）并不受影响。它们明确说明了所需算法，仅允许一般建议的算法运行。

修复

管理员应该编辑设备上的/etc/ssh/sshd_config文件，通过这里的指南包含如下代码

编辑这个文件要求获取根权限，这样设备默认的“管理员”用户或其它拥有sudo权限的用户将需要执行这个步骤。更新这个配置文件后，通过运行“服务ssh重启”重启SSH服务。

这个变化不应该影响Nexpose实例和物理设备的连接。主要的影响是通过SSH客户端支撑权限，这样它们无法使用过时算法连接到设备。如果用户的客户端选择并不支持任何所推荐的算法，那么建议寻找更加安全的选择。

另外，如果你不确定是否有最新版本的openSSH，那么应该在硬件设备上运行如下命令（以根用户权限或sudo权限）。

apt-get update && apt-get upgrade

它会更新数据包列表并安装最新版本。虽然Nexpose硬件设备确实能启用自动OS数据包更新以解决严重的安全问题，但它能确保你拥有可用的最新版本。

披露时间轴

2017年5月10日周三：将漏洞告知Rapid7

2017年5月17日周三：Rapid7确认该漏洞

2017年5月23日：Rapid7分配漏洞编号CVE-2017-5243

2017年5月31日：将漏洞告知MITRE（计划）

2017年5月31日：公开披露（计划）

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。