Cloud Volumes ONTAPのTCPポート8023経由の認証なしコンソールアクセス

環境

• Microsoft Azure の NetApp Cloud Volumes ONTAP（CVO）
• ONTAP バージョン 9.15.1P7、9.16.1P7

問題

侵入テスト中に重大なセキュリティ脆弱性が発見されました。TCPポート8023経由でクラスタ管理コンソールに認証なしで接続することが可能であり、特権モード（PRIV）へのアクセスも可能です。

ログ出力例／症状：

Due to a penetration test on our NetApp CVO systems (Cluster MGT), it was possible to connect using TCP 8023 on the console without authentication, including privileged (PRIV) mode.

This security vulnerability is one of the highest classifications, with a CVSS score of 9.4! 

ONTAPVERSION:9.15.1P7

• エラーメッセージはログに記録されず、認証なしで完全な特権アクセスが許可されます。
• 問題は、影響を受ける ONTAP バージョンを実行している複数のクラスタ/ノードで再現可能です。