SSL 3.0 MITM 攻撃 (CVE-2014-3566) (PAN-SA-2014-0005) 通称 Poodle

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
SSL 3.0 MITM Attack (CVE-2014-3566) (PAN-SA-2014-0005) aka Poodle

https://live.paloaltonetworks.com/t5/Threat-Articles/SSL-3-0-MITM-Attack-CVE-2014-3566-PAN-SA-2014-0...

 

 

詳細

本脆弱性の詳細につきましては、以下のセキュリティ アドバイザリを参照してください。

Palo Alto Networks Product Vulnerability - Security Advisories  (英文)

 

本文書ではセキュリティ アドバイザリに補足する形で詳細を記載します。Palo Alto Networks は本脆弱性に対応するために、製品毎に別の変更を施しています。本文書で記載しているように、この攻撃はそれぞれの機能毎にその影響範囲が限られています。

注: GlobalProtect ポータル、GlobalProtect ゲートウェイ、キャプティブ ポータルにおいて、Palo Alto Networks はSSLv3を無効化するように取り組みをしています。このプロセスは2つ以上のメンテナンス リリースを経るかもしれません。追加情報があれば、都度本文書を更新してまいります。

 

管理ウェブ GUI サーバー

Palo Alto Networks は、デバイスの管理サービスを専用のVLANに制限するか、もしくは信頼できるネットワークとしてセグメントを分け、可能な限り信頼されないホストに晒されないようにすることを推奨します。仮にそれができない場合は、ウェブGUIはSSLv3リクエストに応答することになります。

注: PAN-OS 5.0.16、6.0.8、6.1.2以降のバージョンにおいて、デバイスの管理用コネクションにSSLv3は使用しないようになっています。

 

GlobalProtect ポータル

GlobalProtect ポータル ページはブラウザでアクセスした場合、CVE-2014-3566の影響を受ける場合があります。攻撃が成功した際に取得される情報は認証クッキーのみです(ユーザ名、パスワードは窃取されません)。 ポータル ページにおける認証クッキーはGlobalProtectクライアントをダウンロードするためだけに使用され、GlobalProtectのログインやVPN接続には使用されません。

 

GlobalProtect ゲートウェイ

GlobalProtect ゲートウェイは実際にSSLv3リクエストに対して応答をします。ただし、CVE-2014-3566が成功するためには、攻撃者が用意したJavascriptやウェブ ソケット コードと共にブラウザがハイジャックされ、かつクッキーを含んだリクエストが被害者のサーバーに向けて発行され1バイトずつ復号化される必要があります。GlobalProtect エージェントはブラウザではないので、このような攻撃に対して影響を受けません。

 

キャプティブ ポータル

キャプティブ ポータルはSSLv3リクエストに対して応答をしますが、キャプティブ ポータルは内部的にユーザを認証するものであり、設定が正しく成されていれば外部からアクセスはされません。ただし、内部に感染したクライアントが存在すれば、それが攻撃の起点になる可能性があります。

 

Panorama

Palo Alto NetworksファイアウォールとPanorama間でのコネクションではSSLv3をサポートしないため、本脆弱性の影響を受けません。

 

著者: gwesson