Appliance PowerProtect série DP et IDPA : Apache Log4j CVE-2021-44228

DSA-2021-285 : Mise à jour de sécurité de Dell Integrated Data Protection Appliance (PowerProtect série DP) pour la vulnérabilité d’exécution du code à distance Apache Log4j (CVE-2021-44228).

Matrice d’impact

Correctif permanent

Mise à niveau vers l’appliance PowerProtect série DP et IDPA version 2.7.2

• L’appliance PowerProtect série DP et IDPA version 2.7.2 est disponible sur le site de support Dell.

But

Cette solution de contournement consiste à corriger l’exécution à distance du code Apache Log4j CVE-2021-44228 à l’aide de l’outil d’automatisation « LORD »(LOg4J Remediation for Dell) pour l’appliance PowerProtect série DP et l’Integrated Data Protection Appliance (IDPA).

Regardez cette vidéo sur l’exécution de l’outil d’automatisation « LORD » :

Impact et risques

Cet outil peut désactiver http et https sur le Data Domain dans la version 2.7.0 afin de sécuriser ce système contre le problème décrit dans CVE-2021-44228, désactivant ainsi l’interface utilisateur. Voir ci-dessous pour plus d’informations.

Il n’y a aucun impact fonctionnel sur l’appliance. Annulez les modifications apportées à la machine virtuelle ACM avant les mises à niveau de l’appliance PowerProtect série DP ou d’IDPA afin d’éviter tout impact sur les mises à niveau.

Conditions préalables :

• Téléchargez la dernière version de l’outil LORD à partir de cet article (fichiers joints).
• Extrayez le fichier .zip.

Exécution de l’outil :

Bienvenue dans l’outil d’application du correctif CVE-2021-44228.

• Cet utilitaire vous aide à mettre à jour CVE-2021-44228 pour plusieurs produits Dell, y compris, mais sans s’y limiter, IDPA, PPDM et NetWorker.
• Remarque spéciale : L’outil automatise les étapes de correction de tous les composants internes.
• Les contrôles de correction et de validation suivants sont également exécutés.
• Les recommandations d’Apache concernant CVE-2021-45105 continuent d’évoluer, avec de nouvelles vulnérabilités attribuées à de nouveaux ID de référence CVE. Au fur et à mesure que ces nouvelles CVE sont découvertes, les équipes d’ingénierie de Dell Technologies clarifient les étapes d’impact et de mesure corrective, le cas échéant.
• Lorsqu’elles sont disponibles, cet outil est mis à jour pour inclure ces nouvelles étapes.

Étapes :

1. Copiez l’outil « lord_vX » sur l’ACM dans le répertoire « /tmp » à l’aide d’un logiciel de transfert de fichiers tel que WinSCP, etc.

   Remarque : Un caractère dans le nom de fichier « X » indique la gestion des versions de l’outil LORD. Par exemple, « lord_v7 ».

2. Ouvrez une session SSH sur le serveur Appliance Configuration Manager (ACM) et connectez-vous en tant qu’utilisateur « root ».

   cd /tmp

3. Exécutez la commande suivante pour accorder des autorisations d’exécution :

   chmod +x /tmp/lord_vX

4. Exécutez la commande suivante pour exécuter l’outil LORD :

   ./tmp/lord_vX

5. Suivez les invites.

   acm5800:/tmp # ./tmp/lord_v9
   sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
   2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
   2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
   Session Start Time : 2021-12-23 20:54
   -------------------------------------------------
   -------------------------------------------------
               PowerProtect CVE-2021-44228 Patcher 5.0
         Developer : Pankaj Pande(p.pande@dell.com)
              Release : 21 Dec 2021
   -------------------------------------------------
   Welcome to CVE-2021-44228 Patching Tool.
   This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
   Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
   -------------------------------------------------
   2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
   2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
   Enter the ACM Password :
   Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

   Exemple de sortie du menu principal Mesures correctives :

   2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
   2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
   2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
   2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
   Select how would you like to proceed :
   
   1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
   2) Apply workaround for vCenter
   3) Apply workaround for Data Domain
   4) Apply workaround for Avamar
   5) Apply workaround for DPSearch
   6) Apply workaround for ACM
   7) Apply workaround for DPC
   9) Exit the Program
   
   Enter your choice number :

Sélectionnez l’option #1 pour appliquer des mesures correctives à tous les composants.

• Si vous sélectionnez « Non », les mesures correctives de Data Domain sont ignorées pour l’instant. Une autre option consiste à appliquer la mise à niveau la moins perturbatrice (MDU) conformément à la base de connaissances : 194425 (Un compte de support Dell est requis pour afficher cet article)
  Remarque : N’effectuez pas de mise à niveau du code Data Domain (Protection Storage). Seule la mise à niveau avec perturbation minimale (MDU) est autorisée pour l’appliance PowerProtect série DP (IDPA)
• Si vous souhaitez désactiver l’interface utilisateur, conformément au workflow automatisé, vous pouvez sélectionner « Yes ».

  Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes

• Vous pouvez également choisir de sélectionner l’adresse IP ou l’hôte auquel vous souhaitez limiter l’accès :

  Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
  Would you like to disable the UI completely? Enter 'y' or 'n':n
  2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
  Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :

• Exemple de sortie :

  2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
  2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
  2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
  2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
  2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
  2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
  2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
  2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
  Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
  Would you like to disable the UI completely? Enter 'y' or 'n':y
  2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
  2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled
  
  2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
  2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled
  
  2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
  2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

Une fois les mesures correctives effectuées, l’outil LORD fournit un aperçu de l’état général :

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Mise à jour de la définition du statut :

• TERMINÉ: Cet état indique que le composant concerné était vulnérable et qu’il a été mis à jour.
• NOT_CONFIGURED_IN_IDPA : Cet état indique que le composant concerné n’est pas déployé/configuré.
• SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS : Cet état indique que le composant concerné a été ignoré, car il n’est pas vulnérable à CVE-2021-44228, OU que CVE-2021-44228 n’a pas d’impact sur la version de ce composant concerné, ou que le composant concerné a déjà été mis à jour.

Conseils relatifs au CVE-2021-45105

• La vérification, lorsqu’elle est exécutée sur le composant System Manager de l’appliance PowerProtect série DP [ DPC ], indique qu’elle est vulnérable pour CVE-2021-44228, mais que la bibliothèque Log4j affectée n’est mentionnée ni chargée dans aucun service. Il s’agit donc d’un faux positif qui peut être ignoré en toute sécurité.
• Les équipes d’ingénierie travaillent à confirmer si d’autres composants de l’IDPA sont concernés par le CVE-2021-45105.
• Le cas échéant, des mesures correctives sont publiées conformément à la politique du Bureau de la sécurité de Dell Technologies.
• Pour CDRA, consultez l’article de la base de connaissances : Appliance PowerProtect série DP et IDPA : Apache Log4j CVE-2021-44228

Sous-composant : Reprise après sinistre sur le Cloud

Pour CDRA : machine virtuelle sur site

1. Ouvrez SSH sur la machine virtuelle CDRA à l’aide de l’utilisateur cdr

2. Créez cdra_log4jfix.sh dans le répertoire /tmp/ avec le contenu suivant :

   • Exécutez la commande suivante pour créer le script cdra_log4jfix.sh :

     vi /tmp/cdra_log4jfix.sh

   • Appuyez sur la touche I du clavier pour passer en mode Insertion et copiez le contenu comme indiqué ci-dessous.
   • Appuyez sur Echap, puis sur :wq ! pour enregistrer le fichier.

     #! /bin/sh
     cdr_backup()
     {
       mkdir -p /tmp/cdr_backup
       cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
       cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
     }
     update_executable()
     {
       echo "Updating CDRA executable."
       sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
     }
     update_restore_vm()
     {
       echo "Updating restore_vm.jar."
       cd /home/cdr/cdra/resources/restore
       zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
       zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
     }
     update_cdra_main()
     {
       echo "Updating cdra_main.jar."
       LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
       echo "Stopping CDR service."
       sudo service cdra stop
       cd /home/cdr/cdra/lib/
       mkdir -p BOOT-INF/lib
       unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
       zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
       zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
       rm -rf BOOT-INF
       echo "Starting CDR service. This may take a few minutes."
       sudo service cdra start
       for i in {1..10}
       do
         sleep 30
         echo "Checking CDR service status..."
         RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
         if [[ "$RESP_CODE" == 200 ]]; then
           echo "CDR service started successfully."
           return 0
         fi
       done
       echo "Failed to run CDR service. Please contact Dell Support."
       exit 1
     }
     main()
     {
        CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
        echo "CDR version is : $CDR_VER"
        if [[ $CDR_VER =~ 19\.[6-9] ]]; then
           cdr_backup
           update_executable
           update_restore_vm
           update_cdra_main
         else
           echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
           exit 0
         fi
         rm -rf /tmp/cdr_backup
     }
     main

3. Exécutez les commandes suivantes pour exécuter le script de correction :

   dos2unix /tmp/cdra_log4jfix.sh

   chmod +x /tmp/cdra_log4jfix.sh

   sudo /tmp/cdra_log4jfix.sh

Pour CDRS : Déployé sur le Cloud (AWS/AZURE/AWS GOV/AZURE GOV)
Ouvrez une demande de service auprès du support Dell et consultez cet article 000194520 pour appliquer le correctif au CDRS (Cloud Disaster Recovery).

Sous-composant : Avamar Server (Protection Software) et Data Protection Extension

• Avamar Server (Protection Software/Backup Server) n’est pas vulnérable aux CVE-2021-44228 et CVE-2021-45046. Ces vulnérabilités sont spécifiques à la classe de recherche JNDI qui n’existe que dans le fichier jar log4j-core. Avamar Server n’installe pas le fichier jar jog4j-core. La mise à niveau vers l’appliance PowerProtect série DP (IDPA) version 2.7.1 peut être effectuée si les clients souhaitent toujours mettre à jour la version de log4j vers la version 2.16. Cette mise à jour peut empêcher les notifications de faux positifs par les outils d’analyse de sécurité.
• Cloud Director Data Protection Extension (si configuré) est toujours vulnérable et les étapes de contournement mentionnées dans l’article KB 194480 de la base de connaissances peuvent être appliquées aux composants Data Protection Extension antérieurs à la version 19.4.
• Pour vCloud Director Data Protection Extension 19.4, nous vous recommandons d’appliquer le correctif 19.4.0.214_HF.5, comme décrit dans la section Mesure corrective. Pour plus d’informations sur le correctif, consultez l’article 194480 de la base de connaissances.

Si vous mettez en œuvre les étapes de contournement décrites dans cette section, puis que vous mettez à niveau Data Protection Extension vers une version non corrigée, vous devez réimplémenter les étapes de contournement.