Recientemente ha aparecido la vulnerabilidad CVE-2023-48795, Terrapin
En concreto, afectaría a un cifrado (ChaCha20-Poly1305) por lo que vamos a tratar de deshabilitar via OpenSSH
Como podemos ver, el cifrado está activo:
[root@SRV01]# sshd -T | grep chacha20-poly1305
ciphers [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
Ahora, si validamos la configuración veremos que no aparece el cifrado en questión. Que sucede?
[root@SRV01]# cat /etc/ssh/sshd_config | grep -i chacha20-poly1305
[root@SRV01]#
En esta situación, se intenta añadir (pre) el símbolo “-” antes del cifrado (line 132) como el siguiente caso (ver la última linea):
ciphers aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected],[email protected]
Cuando valido la configuración, aparece el siguiente error:
[root@SRV01]# sshd -t
/etc/ssh/sshd_config line 132: Bad SSH2 cipher spec 'aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected],[email protected]'.
En versiones RHEL8, la configuración debe estar en /etc/ssh/sshd_config, pero en versiones RHEL9 debe estar en un fichero anexo y respetando los pesos en /etc/ssh/sshd_config.d. Por ejemplo:
cat > /etc/ssh/sshd_config.d/49-crypto-policy-override.conf << EOF
ciphers aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
KexAlgorithms diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha256,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,curve25519-sha256,[email protected]
MACs [email protected],[email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha2-512
EOF
Si validamos nuevamente la configuración ya no nos aparecerá el sistema vulnerable:
[root@SRV01]# sshd -T | grep chacha20-poly1305
[root@SRV01]#