Connectrix Brocade: Configuração SHA1 obsoleta para vulnerabilidade de SSH

Nenhuma cifra SHA1 está presente na saída seccryptocfg. Mas a verificação de segurança ainda marca essa vulnerabilidade. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

Nas versões do FOS anteriores ao FOS 9.2.2, a chave de host/pubkey SSH do RSA usa um algoritmo de hash (SHA1) que não é mais considerado adequadamente forte e comumente relatado como uma vulnerabilidade potencial por ferramentas de varredura (como o Qualys).

Embora os usuários possam gerar e usar ECDSA SSH hostkey/pubkey em vez de RSA, o FOS v9.2.2 foi aprimorado para permitir que o administrador configure SSH HostkeyAlgorithms e PubkeyAlgorithms para conexões SSH de/para FOS e permitir uma chave de host/pubkey RSA mais forte usando o comando seccryptocfg.
 

Faça upgrade do switch para o FOS 9.2.2.

Os modelos criptográficos no FOS v9.2.2 são atualizados com entradas de chave "HostKeyAlgorithms" e "PubKeyAlgorithms" em SSH.

Exemplo para plataformas enviadas com FOS v9.2.2 de fábrica:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

Portanto, os novos atributos "HostkeyAlg" e "PubkeyAlg" estão disponíveis com o comando 'seccryptocfg --apply' para configurar plataformas atualizadas para FOS v9.2.2.
NOTA: Ao configurar os SSH HostkeyAlgorithms e PubkeyAlgorithms usando 'seccryptocfg --apply', o serviço SSH (no FOS) é reiniciado para carregar a nova configuração e todas as sessões SSH existentes no CP atual, bem como no CP em espera (no chassi) serão encerradas.

Exemplo:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’