O SSLv3 é considerado um protocolo obsoleto e inseguro, já substituído pelo TLS 1.0, TLS 1.1 e TLS1.2. No entanto, para manter a compatibilidade com dispositivos legados, boa parte das implementações TLS ainda mantém o SSLv3 como opção.
No POODLE (Padding Oracle On Downgraded Legacy Encryption) Attack o atacante tenta usar o SSLv3 e então aproveita-se das vulnerabilidades deste protocolo, podendo ter acesso a informações sensíveis de uma conexão. Por isso a recomendação é desabilitar o SSLv3.
O Anyconnect a partir da versão 3.1 não negocia o uso do SSLv3, ou seja, não é vulnerável. No entanto, se você usa uma versão mais velha deve atualizá-lo para não correr riscos.
O mesmo acontece com o ASA OS, que a partir da versão 9.3, usa o TLSv1.0 por padrão, ao invés do SSLv3, e não está vulnerável. Se você usa um software anterior a versão 9.3 é recomendado que o software seja atualizado. Ou use o comando “ssl server-version tlsv1-only” para impedir a negociação e uso do SSLv3.
Por fim, para ficar livre também do POODLE BITES devemos utilizar o ASA OS versões 8.2.5.55, 8.4.7.26, 9.0.4.29,9.1.6, 9.2.3.3 e 9.3.2.2, ou superiores.
Até a próxima.
About The Author
