Comunicado – Error de Navegación (Filtrado Web)

Un nuevo error se ha presentado en una característica de los firewalls que afecta a diversos navegadores.

El error ocurre al utilizar el módulo de Filtrado Web bajo inspección “Flow-based + Deep Inspection” en Firewalls Fortigate mientras se utiliza Google Chrome 131 o versiones posteriores, así como también Microsoft Edge 131.0.2903.48 y Mozilla Firefox 132.0. Este problema impide que dichos navegadores no se pueda ofrecer una conexión segura SSL al no poder cargar los certificados debido al intercambio de llaves ML-KEM post-quantum TLS.

Workarounds

Cualquiera de las siguientes soluciones alternativas puede ser eficaz como solución temporal al problema:

En el FortiGate:
Cambie las políticas de firewall de usar Flow-Based + Deep Inspection a una de las siguientes opciones:

• Proxy-Based + Deep Inspection.
• Flow-based +Certificate Inspection.
• Proxy-based + Certification Inspection.

En Google Chrome:

• Deshabilite la compatibilidad con ML-KEM O deshabilite PostQuantumKeyAgreementEnabled.
• La inhabilitación de ML-KEM es posible en cada navegador yendo a chrome://flags y deshabilitando Usar ML-KEM en TLS 1.3 (#use-ml-kem).
• La inhabilitación de PostQuantumKeyAgreementEnabled es posible a través de la política de Chrome Enterprise o el grupo de Windows.

En Microsoft Edge:

• Deshabilite la marca llamada "TLS 1.3 acuerdo de clave poscuántica" en edge://flags.

Utilizar el navegador Mozilla Firefox (debido a que es menos susceptible) o utilizar otro navegador basado en chromium.

Solución permanente:

El problema está bajo investigación activa pero aun así se recomienda actualizar el motor IPS a las siguientes versiones:

• 7.0 IPSE 7.0189.

No hay información adicional en este momento.

• 7.2 IPSE 7.0353.

Se debe tener en cuenta que IPSE 7.0353 está programado para un lanzamiento gradual a través de la red de distribución de FortiGuard a partir del 19 de noviembre de 2024, lo que significa que FortiGates con FortiOS 7.2.0 y versiones posteriores del parche 7.2 recibirá automáticamente esta compilación de motor IPS durante todo noviembre (consulte CSB-241115-1 en el sitio de soporte de Fortinet para obtener más información).

• 7.4 IPSE 7.0555.

Se debe tener en cuenta que FortiOS 7.4.6 tiene actualmente como objetivo una ventana de lanzamiento entre el 10 y el 12 de diciembre de 2024, por lo que la compilación actualizada del motor IPS también puede incluirse con la actualización de firmware (habrá más información disponible en el lanzamiento).

• 7.6 IPSE 7.01026.

Se debe tener en cuenta que FortiOS 7.6.1 tiene actualmente como objetivo una ventana de lanzamiento entre el 26 y el 28 de noviembre de 2024, por lo que la compilación actualizada del motor IPS también puede incluirse con la actualización de firmware (habrá más información disponible en el lanzamiento).

Se debe tener en cuenta que estas versiones del motor IPS están siendo probadas por Fortinet QA antes de que se lancen oficialmente al público (ya sea a través de FortiGuard o incluidas en las versiones de firmware de FortiOS).
 

Recomendaciones

• Cambie las políticas de firewall de usar Flow-Based + Deep Inspection a una de las siguientes opciones:
  • Proxy-Based + Deep Inspection.
  • Flow-based +Certificate Inspection.
  • Proxy-based + Certification Inspection
     
• Actualizar el motor IPS a las siguientes versiones:
  •  7.0 IPSE 7.0189.
  •  7.2 IPSE 7.0353.
  • 7.4 IPSE 7.0555.
  • 7.6 IPSE 7.01026.
     
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor.

Referencias

1. FORTINET. (2024. Noviembre 18) Technical Tip: ERR_SSL_PROTOCOL_ERROR when using Flow-based Deep Inspection due to ML-KEM post-quantum TLS key exchange (Known Issue). Recuperado el 18 de noviembre del 2024 en: https://community.fortinet.com/t5/FortiGate/Technical-Tip-ERR-SSL-PROTOCOL-ERROR-when-using-Flow-based-Deep/ta-p/357555

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios