Vulnerabilidad Diffie-Hellman Key Exchange Insufficient Group Strength

por | febrero 28, 2021

Esta vulnerabilidad está basada en protocolo de cifrado TLS en Internet Information Server.

Las versiones TLS 1.0 y TLS 1.1 están obsoletas frente a TLS 1.2

Se hace necesario habilitar TLS 1.2 y deshabilitar las versiones anteriores.

¿Como reconocer esta vulnerabilidad? Con el comando nmap como root:

sudo nmap --script vuln xxx -oN archivo

siendo:
- xxx : IP del servidor a analizar
- archivo: Para guardar la salida.

El resultado será paracido a esto:
Diffie-Hellman Key Exchange Insufficient Group Strength
 |     State: VULNERABLE
 |       Transport Layer Security (TLS) services that use Diffie Hellman groups
 |       of insufficient strength, especially those using one of a few commonly
 |       shared groups, may be susceptible to passive eavesdropping attacks.
 |     Check results:
 |       WEAK DH GROUP 1
 |             Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA
 |             Modulus Type: Safe prime
 |             Modulus Source: RFC2409/Oakley Group 2
 |             Modulus Length: 1024
 |             Generator Length: 1024
 |             Public Key Length: 1024
 |     References:
 |_      https://weakdh.org

Para ver como configurar TLS 1.2 y deshabilitar cifrados anteriores ir al post: https://www.alcaide.info/habilitar-protocolo-de-cifrado-tls-1-2

Print Friendly, PDF & Email