Dispositivo PowerProtect serie DP e IDPA: Acceso anónimo al directorio LDAP permitido en Appliance Configuration Manager.
Resumen: Un cliente informó la siguiente vulnerabilidad en su DP4400 que ejecuta la versión 2.7.1 de IDPA. El protocolo ligero de acceso a directorios (LDAP) se puede utilizar para proporcionar información sobre usuarios, grupos y otros. El servicio LDAP en este sistema permite conexiones anónimas. El acceso a esta información por parte de usuarios maliciosos puede ayudarlos a realizar más ataques. ...
Este artículo se aplica a
Este artículo no se aplica a
Este artículo no está vinculado a ningún producto específico.
No se identifican todas las versiones del producto en este artículo.
Síntomas
El cliente utiliza un sistema IDPA DP4400 con LDAP interno y experimenta un problema de seguridad de enlace LDAP anónimo después de realizar un análisis de seguridad en el sistema IDPA.
Causa
ACM tiene Acceso anónimo al directorio LDAP, por lo que los usuarios maliciosos pueden tener acceso a usuarios, grupos y demás.
Resolución
NOTA: Después de deshabilitar la búsqueda anónima de LDAP en ACM, activa una excepción de código en el flujo de trabajo actual de cambio de contraseña de ACM en o antes de la versión de software de IDPA 2.7.3. En caso de que se requiera un cambio de contraseña después de implementar esta solución de seguridad, siga las 000212941 de la base de conocimientos para volver a habilitar la búsqueda anónima de LDAP en ACM. Cuando el cambio de contraseña se completa correctamente, la búsqueda anónima de LDAP se puede deshabilitar nuevamente.
Realice los siguientes pasos para desactivar el acceso anónimo al directorio LDAP en Appliance Configuration Manager.
1. Abra SSH en ACM e inicie sesión como usuario “root”.
2.Reinicie LDAP utilizando el siguiente comando: systemctl restart slapd
3. Cree el archivo ldif mediante el siguiente comando:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Pegue el siguiente contenido en el archivo:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
A continuación, ejecute el siguiente comando en ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Ejemplo de salida
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Ejecute el siguiente comando para probar que la corrección se haya implementado:
En las versiones 2.6 y superiores, ejecute el siguiente comando:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
En las versiones 2.5 y anteriores, ejecute el siguiente comando:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Resultado de muestra:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformación adicional
NOTA: Se informó un problema después de seguir el artículo de la base de conocimientos anterior.
Después de deshabilitar la búsqueda anónima de LDAP en ACM, activa una excepción de código en el flujo de trabajo actual de cambio de contraseña de ACM en o antes de la versión de software de IDPA 2.7.3. En caso de que se requiera un cambio de contraseña en el dispositivo después de deshabilitar el acceso anónimo a LDAP, siga el artículo 000212941 para volver a habilitar la búsqueda anónima de LDAP en ACM. Cuando el cambio de contraseña se completa correctamente, la búsqueda anónima de LDAP se puede deshabilitar nuevamente.
En caso de que se requiera un cambio de contraseña, siga las 000212941 de artículo para volver a habilitar la búsqueda anónima de LDAP en ACM. Cuando el cambio de contraseña se completa correctamente, la búsqueda anónima de LDAP se puede deshabilitar nuevamente.
Después de deshabilitar la búsqueda anónima de LDAP en ACM, activa una excepción de código en el flujo de trabajo actual de cambio de contraseña de ACM en o antes de la versión de software de IDPA 2.7.3. En caso de que se requiera un cambio de contraseña en el dispositivo después de deshabilitar el acceso anónimo a LDAP, siga el artículo 000212941 para volver a habilitar la búsqueda anónima de LDAP en ACM. Cuando el cambio de contraseña se completa correctamente, la búsqueda anónima de LDAP se puede deshabilitar nuevamente.
En caso de que se requiera un cambio de contraseña, siga las 000212941 de artículo para volver a habilitar la búsqueda anónima de LDAP en ACM. Cuando el cambio de contraseña se completa correctamente, la búsqueda anónima de LDAP se puede deshabilitar nuevamente.
Productos afectados
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProductos
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Propiedades del artículo
Número del artículo: 000196092
Tipo de artículo: Solution
Última modificación: 03 may 2023
Versión: 7
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.