CVE-2022-38023はData ONTAP 7-Modeに影響しますか

環境

• Data ONTAP 7-Mode
• CVE-2022-38023

回答

はい。Filer（vfiler）がNETLOGONを介してNTLM認証を渡しようとすると、Enforcement Phaseが設定されると、ドメイン・コントローラはAccess Deniedを返します

どのような回避策がありますか？

• 7-ModeコンピュータオブジェクトをGPOに追加します。「Domain Controller: Allow Vulnerable Netlogon secure channel connections」グループポリシーオブジェクト（GPO）。
• 注：7-Modeは限定サポートの対象であるため、ONTAP 7-Modeではこの新機能を実装するパッチは計画されていません。
• 注：ONTAP 7-Mode 8.2.5P4または8.2.5P5のバージョンでは、GPO回避策 を利用するには「options cifs.netlogon.secure_channel.enable off 」を実行する必要があります。
• 上記のオプションを無効にすると、セキュリティ保護されていない脆弱なネットログオン接続を使用するように7-Modeをリバートします。これは、以前公開されていたGPO回避策 「Domain Controller: Allow Vulnerable Netlogon secure channel connections」グループポリシーオブジェクト（GPO）と連携する唯一の方法 です。
• 注: 2023年4月20日現在、Microsoft KB5021130 では、GPOを回避策 to Enforcementとして参照していません。2023年4月11日のパッチ適用時点で、この回避策 は7-Modeでも有効でしたが、今後公開される他の修正プログラムとの有効性を保証することはできません。

[1] 「RequireSeal：2」の適用が設定されると、CVE-2022-38023によるONTAP 7-Modeへの影響（上記の回避策が設定されていない場合）：

• Filer（vfiler）がNETLOGONを介してNTLM認証情報を渡しようとすると、パッチが適用されたドメイン・コントローラはAccess Deniedを返します
• ONTAP で次のようなEMSメッセージのエラーが報告されます。（このメッセージは、「options cifs.trace_login on」が有効な場合にのみ表示されます）

  auth.dc.trace.DCConnection.errorMsg:error]: AUTH: Domain Controller error: NetLogon error 0xc0000022: - Filer's security information differs from domain controller \\DC1.

[2] 「RequireSeal：2」の適用が設定されると、CVE-2022-38023によるONTAP 7-Modeへの影響（上記の回避策が無効になった場合）：

• クライアントは、環境でKerberos認証のみが使用されていることを確認する必要があります。
• SMBクライアントは、使用する認証形式をどのようにして識別しますか？
• CIFS KerberosのONTAP 要件

追加情報

• CVE-2022-38023はONTAP 9に影響を与えますか
• この他のKBには、この問題 のトラブルシューティング方法について役立つヒントが記載されています。 「Microsoft Security Advisory CVE-2020-1472 impact on NetApp appliance running CIFS or NFS utilizing Netlogon servers
• 「options cifs.netlogon.secure_channel.enable off 」を実行した後、 モード（enabled/disabled）を切り替えるには cifs resetdc 、コマンド（vfilerを使用している場合はrun vfiler run <vfiler> cifs resetdc）を実行してDCへの現在の接続を切断し、新しいモードでDCに再接続する必要があります。