メインコンテンツまでスキップ

CVE-2022-38023はData ONTAP 7-Modeに影響しますか

Views:
1,826
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
7dot<a>CVE-2022-38023</a>
Last Updated:

環境

  • Data ONTAP 7-Mode
  • CVE-2022-38023

回答

はい。Filer(vfiler)がNETLOGONを介してNTLM認証を渡しようとすると、Enforcement Phaseが設定されると、ドメイン・コントローラはAccess Deniedを返します

どのような回避策がありますか?

7-Modeバージョン GPO cifs.netlogon.secure_channel.enable
8.2.5P3以前のバージョン 7-ModeコンピュータオブジェクトをGPOに追加します オプションを使用できません。Netlogonはセキュアチャネルを使用していません
8.2.5P4および8.2.5P5 7-ModeコンピュータオブジェクトをGPOに追加します "options cifs.netlogon.secure_channel.enable off"
  • 7-ModeコンピュータオブジェクトをGPOに追加します。「Domain Controller: Allow Vulnerable Netlogon secure channel connections」グループポリシーオブジェクト(GPO)。
  • :7-Modeは限定サポートの対象であるため、ONTAP 7-Modeではこの新機能を実装するパッチは計画されていません
  • :ONTAP 7-Mode 8.2.5P4または8.2.5P5のバージョンでは、GPO回避策 を利用するには「options cifs.netlogon.secure_channel.enable off 」を実行する必要があります。
  • 上記のオプションを無効にすると、セキュリティ保護されていない脆弱なネットログオン接続を使用するように7-Modeをリバートします。これは、以前公開されていたGPO回避策 「Domain Controller: Allow Vulnerable Netlogon secure channel connections」グループポリシーオブジェクト(GPO)と連携する唯一の方法 です。
  • 注: 2023年4月20日現在、Microsoft KB5021130 では、GPOを回避策 to Enforcementとして参照していません。2023年4月11日のパッチ適用時点で、この回避策 は7-Modeでも有効でしたが、今後公開される他の修正プログラムとの有効性を保証することはできません。
 

[1] 「RequireSeal:2」の適用が設定されると、CVE-2022-38023によるONTAP 7-Modeへの影響(上記の回避策が設定されていない場合):

  • Filer(vfiler)がNETLOGONを介してNTLM認証情報を渡しようとすると、パッチが適用されたドメイン・コントローラはAccess Deniedを返します
  • ONTAP で次のようなEMSメッセージのエラーが報告されます。(このメッセージは、「options cifs.trace_login on」が有効な場合にのみ表示されます)
    auth.dc.trace.DCConnection.errorMsg:error]: AUTH: Domain Controller error: NetLogon error 0xc0000022: - Filer's security information differs from domain controller \\DC1.

[2] 「RequireSeal:2」の適用が設定されると、CVE-2022-38023によるONTAP 7-Modeへの影響(上記の回避策が無効になった場合):

追加情報

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.