NetWorker: Cómo deshabilitar el puerto 5672 para DSA-2018-120 a fin de evitar que el software de escaneo siga mostrando la vulnerabilidad
Summary: Debido a una vulnerabilidad de autenticación de texto no cifrado, se descubrió que el puerto 5672 enviaba credenciales sin cifrar. Como solución, se introdujo el puerto 5671 para utilizar cifrados SSL, pero aún así el puerto 5672 está abierto, ya que algunas funciones de NetWorker necesitan este puerto para funcionar; por lo tanto, algún software de escaneo puede mostrar que la vulnerabilidad aún existe en NetWorker Server. En este artículo, se describe cómo deshabilitar completamente este puerto. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Antes de leer este artículo, asegúrese de haber leído y entendido el siguiente artículo de la base de conocimientos 523985: DSA-2018-120: Vulnerabilidad de la autenticación de texto no cifrado en la red
de Dell EMC NetWorkerDespués de que se implementó la corrección para corregir CVE-2018-11050, es posible que se deban realizar algunas acciones adicionales:
P: ¿Puedo bloquear el puerto 5672 en nuestro Firewall para evitar que el escaneo de seguridad lo reporte?
Un: No, el puerto 5672 debe estar abierto desde el servidor de NMC hacia el servidor de NetWorker. Este es el puerto "Messmage Queue Adapter".
Los clientes AMQP interactúan con el bus de mensajes en el puerto 5672 y debe estar abierto. El puerto 5671 debe estar abierto para SSL.
Las funciones que se exponen desde el servidor NW son el estado JOB de los respaldos y nada más. Por lo tanto, es una operación de solo lectura que cualquier componente no autorizado puede suponer como un riesgo.
A partir de las versiones fijas de NetWorker especificadas en el artículo 523985 de la base de conocimientos: DSA-2018-120: Autenticación de texto no cifrado de Dell EMC NetWorker a través de una vulnerabilidad de red, NW utilizará 5671 (SSL) para la autenticación y cifrará las credenciales según los cifrados mencionados. Sin embargo, el bloqueo de 5672 afectará negativamente el artículo 503523 de la base de conocimientos: NetWorker 9: Cuando un firewall bloquea el puerto 5672, el monitoreo de NMC muestra el estado Nunca se ejecutó para las políticas y, al hacer clic en Estado del flujo de trabajo, aparece El bus de mensajes no puede abrir la conexión de socket al host <> NetWorker_server en el puerto 5672: solicitud programada \BRM\DPC\FLR, etc.) por lo tanto:
Si 5672 aparece en el análisis, la única opción por ahora es ignorarlo, ya que ya no utilizamos el puerto 5672 para enviar credenciales vulnerables. (las credenciales ahora se envían a través del puerto 5671).
Dicho esto, este artículo se aplica solo si:
Pasos para deshabilitar el puerto 5672:
de Dell EMC NetWorkerDespués de que se implementó la corrección para corregir CVE-2018-11050, es posible que se deban realizar algunas acciones adicionales:
- El software de escaneo sigue mostrando la vulnerabilidad, ya que el puerto que no es SSL sigue abierto debido a la compatibilidad con versiones anteriores (esto es NMC, Hyper-V FLR/NMM).
- Los servicios internos de NetWorker (nsrd/nsrjobd) comenzaron a usar el puerto habilitado para SSL (5761) en las versiones fijas; sin embargo, el puerto aún está abierto y NetWorker\NMM lo utiliza para otras operaciones.
- Este problema se soluciona en esas versiones mediante el no envío de "Credenciales de usuario sin cifrar al servicio AMQP remoto" a través del puerto no SSL 5672.
- Si desea utilizar un puerto que no sea SSL, puede seguir utilizándolo.
- Para aquellos que desean utilizar el puerto SSL, esta corrección proporciona el mecanismo.
- Si deshabilita el puerto 5672, el funcionamiento correcto de otros servicios de NetWorker se ven afectados, como Hyper-V, NMM, etc. (todos los clientes de aplicaciones).
P: ¿Puedo bloquear el puerto 5672 en nuestro Firewall para evitar que el escaneo de seguridad lo reporte?
Un: No, el puerto 5672 debe estar abierto desde el servidor de NMC hacia el servidor de NetWorker. Este es el puerto "Messmage Queue Adapter".
Los clientes AMQP interactúan con el bus de mensajes en el puerto 5672 y debe estar abierto. El puerto 5671 debe estar abierto para SSL.
Las funciones que se exponen desde el servidor NW son el estado JOB de los respaldos y nada más. Por lo tanto, es una operación de solo lectura que cualquier componente no autorizado puede suponer como un riesgo.
A partir de las versiones fijas de NetWorker especificadas en el artículo 523985 de la base de conocimientos: DSA-2018-120: Autenticación de texto no cifrado de Dell EMC NetWorker a través de una vulnerabilidad de red, NW utilizará 5671 (SSL) para la autenticación y cifrará las credenciales según los cifrados mencionados. Sin embargo, el bloqueo de 5672 afectará negativamente el artículo 503523 de la base de conocimientos: NetWorker 9: Cuando un firewall bloquea el puerto 5672, el monitoreo de NMC muestra el estado Nunca se ejecutó para las políticas y, al hacer clic en Estado del flujo de trabajo, aparece El bus de mensajes no puede abrir la conexión de socket al host <> NetWorker_server en el puerto 5672: solicitud programada \BRM\DPC\FLR, etc.) por lo tanto:
- El bus RabbitMQ continúa disponible a través de amqp sin cifrar (sin TLS) en el puerto 5672
- El bus de RabbitMQ ahora también está disponible a través de amqp cifrado (TLS) en el puerto 5671
- El puerto 5671 debe estar abierto entrante en NetWorker Server.
- El servidor NMC se conecta al puerto 5671, por lo que debe ser saliente de NMC a NetWorker.
Si 5672 aparece en el análisis, la única opción por ahora es ignorarlo, ya que ya no utilizamos el puerto 5672 para enviar credenciales vulnerables. (las credenciales ahora se envían a través del puerto 5671).
Dicho esto, este artículo se aplica solo si:
- No está ejecutando una de las versiones de NetWorker afectadas que se describen en el artículo 523985 de la base de conocimientos: DSA-2018-120: Vulnerabilidad de la autenticación de texto no cifrado en la red de Dell EMC NetWorker
- No necesita el puerto 5672, ya que no necesita operaciones de FLR/NMM de Hyper-V para funcionar.
Pasos para deshabilitar el puerto 5672:
- Edite/cree el archivo /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Tenga en cuenta las opciones SSL, ya que este es el puerto SSL que utilizamos.
Las líneas que hacen referencia a tcp_listener deben ser comentadas, excepto la primera a continuación:
{tcp_listeners, []}, %%esto hará que {tcp_listeners, []} no escuche ningún port
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- Para mayor seguridad, se recomienda tener implementados los siguientes ajustes (consulte rabbitmq.config.example adjunto):
{honor_cipher_order, true},
{honor_ecc_order, true},
{ciphers, [
"lista de cifrados"
]},
{honor_ecc_order, true},
{ciphers, [
"lista de cifrados"
]},
Como se indica en https://www.rabbitmq.com/ssl.html:
Durante la negociación de la conexión TLS, el servidor y el cliente negocian qué conjunto de cifrado se utiliza. Es posible forzar la implementación de TLS del servidor para que dicte su preferencia (orden del conjunto de cifrado) para evitar clientes maliciosos que negocian intencionalmente conjuntos de cifrado débiles en preparación para ejecutar un ataque contra ellos. Para ello, configure honor_cipher_order y honor_ecc_order en verdadero.
- El servicio NSR debe estar deshabilitado en NetWorker Server.
Después de cada reinicio, se vuelve a habilitar de manera predeterminada, por lo que debe volver a deshabilitarse. Esto se debe al error 300070, corregido en las versiones 9.2.2 y superiores.
Pasos para desactivarlo:
Tipo de p de nsradmin
> : actualización del servicio
> nsr habilitada: No
> : actualización del servicio
> nsr habilitada: No
Additional Information
Debido a una vulnerabilidad de autenticación de texto no cifrado, se descubrió que el puerto 5672 enviaba credenciales sin cifrar. Como solución, se introdujo el puerto 5671 para utilizar cifrados SSL, pero el puerto 5672 aún está abierto, ya que algunas funciones de NetWorker necesitan este puerto para funcionar; por lo tanto, algún software de escaneo puede mostrar que la vulnerabilidad aún existe en NetWorker Server. En este artículo, se describe cómo deshabilitar completamente este puerto.
Puede obtener más información sobre las opciones de rabbitmq.configuration en:
Puede obtener más información sobre las opciones de rabbitmq.configuration en:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.