IDPA: El análisis de vulnerabilidades de seguridad detectó que SSH contiene cifrados CBC débiles

Resumen: Dispositivos de la serie PowerProtect Data Protection e IDPA: El análisis de vulnerabilidades de seguridad detectó que SSH contiene cifrados débiles de encadenamiento de bloques de cifrado (CBC) en los siguientes productos: ACM, DPA (generación de informes y análisis), Search, Avamar (software de protección) y DPC (System Manager) ...

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Instrucciones

Cuando se detectó la siguiente vulnerabilidad en los componentes de IDPA mencionados anteriormente en el puerto 22:

Título de la vulnerabilidad Puerto de servicio Nivel de gravedad de la vulnerabilidad A prueba de vulnerabilidades Solución de vulnerabilidad
Vulnerabilidad de CBC de SSH 22 3 * Ejecución del servicio

SSH * Cifrados CBC no seguros en uso: aes128-cbc,aes192-cbc,aes256-cbc		 Deshabilite el soporte de SSH para el conjunto de cifrado CBC.

SSH se puede realizar mediante el cifrado en modo contador (CTR). Este modo genera el flujo de claves mediante el cifrado de valores sucesivos de una función de "contador". A fin de mitigar esta vulnerabilidad, SSH se puede configurar para utilizar el modo CTR en lugar del modo CBC.

 

Nota: Este procedimiento también se puede aplicar a los siguientes componentes de IDPA:
  • DPA (generación de informes y análisis)
  • Búsqueda
  • Avamar (software de protección)
  • DPC (administrador del sistema)

Si el escáner de seguridad detecta que la vulnerabilidad CBC de SSH se encuentra en los componentes anteriores, se puede seguir el mismo plan de corrección.


Siga los pasos para deshabilitar CBC en SSH en ACM:
  1. Acceda mediante SSH a ACM mediante la cuenta de usuario raíz

Para Avamar y DPC, primero inicie sesión como el usuario "admin" y, a continuación, cambie el usuario a root con el su comando.

  1. Vaya a la página /etc/ssh carpeta.
# cd /etc/ssh
  1. Haga una copia de la versión actual sshd_config. Por ejemplo: 
# cp -p sshd_config sshd_config.default
  1. Abra el archivo sshd_config de NetWorker.
# vi sshd_config
  1. Busque cifrados y elimine el aes128-cbc,aes192-cbc,aes256-cbc de la lista.
    Para buscar una cadena de caracteres, escriba / seguido de la cadena que está buscando y, a continuación, presione Enter. El cursor vi se posiciona en la siguiente aparición de la cadena. Luego, con el comando n para buscar el siguiente resultado coincidente.

    En este caso, coloque /Cipher y, a continuación, pulsa Intro:
    Línea de comandos que muestra /Ciphers written

    Presione n Para buscar el siguiente resultado coincidente:
    línea de comandos que muestra que C en Cipher se resalta después de presionar n
     
Nota: Cualquier línea que comience con un # se considera como un comentario y no surtirá efecto.

 


Cuando alcance el parámetro de configuración, utilice i para entrar en el modo de inserción vi y realizar cambios:

vi se utiliza para editar el parámetro de configuración de cifrados

 

Cambiar de:

Cifrados originales en el archivo antes de ser modificados

 

A:

Línea de comandos que muestra a qué cambiar el cifrado

  1. Guarde el archivo.
    Presione Esc en el teclado para volver al modo vi Command. A continuación, presione :wq! Para guardar el archivo:
    Línea de comandos que muestra wq! Se utiliza para escribir, salir y guardar el archivo después de las ediciones
    7. reiniciar sshd Mediante los siguientes comandos:
# service sshd restart
# service sshd status

 

La variable sshd Debe estar en ejecución:

Línea de comandos que muestra el servicio sshd en ejecución

  1. Ejecute el comando para verificar que los cifrados CBC se hayan deshabilitado en SSH:
# sshd -T |grep -i ciphers
ciphers aes128-ctr,aes192-ctr,aes256-ctr
  1. SSH en ACM en una sesión nueva (Putty) para confirmar que el usuario puede iniciar sesión en ACM.
  2. Inicie sesión en el tablero de ACM de IDPA y verifique que todos los componentes estén en verde. 
     
Nota: Confirme que el usuario pueda iniciar sesión en ACM mediante SSH antes de cerrar sesión.

Información adicional

En caso de que el usuario no pueda iniciar sesión en ACM mediante SSH después del cambio, puede iniciar sesión en la consola de la máquina virtual desde ESXi o vCenter y revisar los pasos anteriores. 
 

Productos afectados

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Propiedades del artículo
Número del artículo: 000205074
Tipo de artículo: How To
Última modificación: 15 may. 2026
Versión:  13
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.