Equipamento PowerProtect série DP e IDPA: Acesso anônimo ao diretório LDAP permitido no Appliance Configuration Manager.
Summary: Um cliente relatou a seguinte vulnerabilidade no DP4400 executando o IDPA versão 2.7.1. O Lightweight Directory Access Protocol (LDAP) pode ser usado para fornecer informações sobre usuários, grupos etc. O serviço LDAP nesse sistema permite conexões anônimas. O acesso a essas informações por usuários mal-intencionados pode ajudá-los a iniciar mais ataques. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
O cliente está usando um sistema IDPA DP4400 com LDAP interno e está enfrentando um problema anônimo de vinculação de segurança do LDAP depois de executar uma verificação de segurança no sistema IDPA.
Cause
O ACM tem acesso anônimo ao diretório LDAP, resultando em usuários mal-intencionados que podem ter acesso a usuários, grupos etc.
Resolution
Nota: Depois de desativar a pesquisa anônima do LDAP no ACM, ele aciona uma exceção de código no workflow atual de alteração de senha do ACM na versão 2.7.3 do software IDPA ou anterior. Caso seja necessária uma alteração de senha após a implementação desta solução de segurança, siga o artigo da KB 000212941 para reativar a pesquisa anônima do LDAP no ACM. Quando a alteração de senha for concluída com sucesso, a pesquisa anônima do LDAP poderá ser desativada novamente.
Use as etapas a seguir para desabilitar o acesso anônimo ao diretório LDAP no Appliance Configuration Manager.
1. Abra o SSH no ACM e faça login como usuário "root".
2. Reinicie o LDAP usando o seguinte comando: systemctl restart slapd
3. Crie um arquivo ldif usando o seguinte comando:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Cole o seguinte conteúdo no arquivo:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Em seguida, execute o seguinte comando no ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Exemplo de resultado
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Execute o seguinte comando para testar se a correção foi implementada:
Nas versões 2.6 e posteriores, execute o seguinte comando:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Nas versões 2.5 e posteriores, execute o seguinte comando:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Exemplo de resultado:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
Nota: Um problema foi relatado após seguir a KB acima.
Depois de desativar a pesquisa anônima do LDAP no ACM, ele aciona uma exceção de código no workflow atual de alteração de senha do ACM na versão 2.7.3 do software IDPA ou anterior. Caso seja necessário alterar a senha no equipamento após desativar o acesso anônimo do LDAP, siga o artigo 000212941 para reativar a pesquisa anônima do LDAP no ACM. Quando a alteração de senha for concluída com sucesso, a pesquisa anônima do LDAP poderá ser desativada novamente.
Caso seja necessária uma alteração de senha, siga o artigo 000212941 para reativar a pesquisa anônima do LDAP no ACM. Quando a alteração de senha for concluída com sucesso, a pesquisa anônima do LDAP poderá ser desativada novamente.
Depois de desativar a pesquisa anônima do LDAP no ACM, ele aciona uma exceção de código no workflow atual de alteração de senha do ACM na versão 2.7.3 do software IDPA ou anterior. Caso seja necessário alterar a senha no equipamento após desativar o acesso anônimo do LDAP, siga o artigo 000212941 para reativar a pesquisa anônima do LDAP no ACM. Quando a alteração de senha for concluída com sucesso, a pesquisa anônima do LDAP poderá ser desativada novamente.
Caso seja necessária uma alteração de senha, siga o artigo 000212941 para reativar a pesquisa anônima do LDAP no ACM. Quando a alteração de senha for concluída com sucesso, a pesquisa anônima do LDAP poderá ser desativada novamente.
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.