Aruba AP Controller 70658 - SSH Server CBC Mode Ciphers Enabled 취약점

보안 취약점을 하나씩 해결 중이다.

이번에는 Aruba Controller의 취약점 확인 중이다.

취약점으로 체크된 것은 CBC Mode Ciphers Enabled이다.

CBC 모드를 사용할 경우 공격자는 암호문에서 평문 메시지 복구가 가능하다.

따라서 CBC 모드 사용을 비활성화해야 한다는 것이다.

그리고 CTR이나 GCM 암호 모드를 사용해야 한다고 되어 있다.

SSH Server CBC Mode Ciphers Enabled

 

 

일단 SSH를 통해 Controller에 접속한다.

SSH Cipher를 확인하려면 config모드 진입 상태에서 show ssh를 입력한다.

CBC 모드가 활성화되어 있는지 확인한다.

aes128-cbc, aes256-cbc 모드가 활성화됨을 확인했다.

Aruba controller에서 show ssh를 입력하여 ssh cbc 모드 활성화 확인

 

 

 

끄는 명령어는 어렵지 않다.

show disable-ciphers 비활성화 Ciphers를 입력한다.

예를 들면 aes128-cbc를 비활성화하려면 다음과 같이 입력한다.

ssh disable-ciphers aes128-cbc

그리고 암호를 입력하라고 나타나면 암호를 입력하면 된다.

Invalid Host라고 나타나는데, 이렇게 되면 실패다.

여러 검색을 통해 알아보니, AP Controller의 설정에 따라 CLI에서는 알맞은 정보를 입력해도 불가능할 수 있는 거 같았다.

Aruba Controller cbc 암호 모드 비활성화 명령어

 

하지만 GUI에서도 가능하다.

일부 버전에서는 CLI만 가능할 수도 있다.

현재 Aruba 모델은 Aruba 7010이고 8.8.0.3 버전을 사용 중이다.

이 모델의 경우 GUI에서도 가능하다.

Configuration > System으로 진입한다.

Admin 탭에서 SSH AUTHENTICATION METHOD를 확인한다.

Encryption을 보면 Both로 되어 있는 경우일 것이다.

이것은 기본 설정이고, CTR 또는 GCM을 사용하도록 설정한다.

설정에서는 AES-CTR을 설정하고 저장하면 된다.

이미지 상에는 없지만, 설정 후 Pending Changes라는 문구가 우측 상단에 뜬다면, 클릭하여 저장해야 완벽하게 제대로 저장되는 것이므로 반드시 확인해야 한다.

Aruba Controller GUI에서 CBC 암호 모드 비활성화

 

 

참조 링크 : https://community.arubanetworks.com/community-home/librarydocuments/viewdocument?DocumentKey=eff51449-f510-499b-8ca3-e1b8e965afac&CommunityKey=39a6bdf4-2376-46f9-853a-49420d2d0caa&tab=librarydocuments

Airheads Community