SSH⽀持弱加密算法漏洞原理扫描验证及修复
使⽤绿盟漏扫设备rsas经常可以在ssh服务端⼝扫描到"SSH ⽀持弱加密算法漏洞【原理扫描】",可以端⼝banner处看到探测到的弱加密算法
记住我
⼀般不是误报,如果想验证漏洞,可以使⽤namp进⾏验证,漏洞描述与验证具体如下:
⼀、漏洞描述
SSH的配置⽂件中加密算法没有指定,默认⽀持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。
这个漏洞属于SSH的配置缺陷,SSH服务启⽤了Arcfour (也称RC4)这个不安全算法。
⼆、漏洞验证
使⽤ nmap 进⾏验证
nmap --script ssh2-enum-algos -sV -p xx
结果如下,可以看到22端⼝使⽤了arcfour、arcfour128、arcfour256 等弱加密算法,漏洞存在。
三、漏洞修复
⽅案⼀:修改 SSH 配置⽂件,添加加密算法:
vi /etc/ssh/sshd_config
最后添加⼀下内容(去掉 arcfour、arcfour128、arcfour256 等弱加密算法)
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc
保存⽂件后重启 SSH 服务
service sshd restart
使⽤nmap再次验证:
nmap --script ssh2-enum-algos -sV -p xx
可以看到已不⽀持 arcfour,arcfour128,arcfour256等弱加密算法,漏洞修复。
⽅案⼆:升级 openssh 版本为最新版本
官⽹有说明,Openssh 7.0以后的默认版本禁⽤了⼀些⽐较低版本的密钥算法。
我这次遇到的是ubuntu⾃带的openssh,所以并未采⽤升级版本的⽅法。
注:SSH Weak MAC Algorithms Enabled 漏洞修复使⽤同样的⽅式,在/etc/ssh/sshd_config⽂件末尾添加以下⾏:MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160