CVE-2022-38023はONTAP 9に影響がありますか。

最後の更新
PDFとして保存

Views:: 21,032

Visibility:: Public

Votes:: 41

Category:: ontap-9

Specialty:: nas

Last Updated:

環境

ONTAP 9
FSX
Cloud Volumes ONTAP（CVO）
SMB / CIFS
Netlogon（NTLM認証）
CVE-2022-38023 - Netlogon RPC特権昇格の脆弱性

回答

NTLMv1またはNTLMv2を使用してドメイン認証用に設定されたONTAPの機能（例：CIFS、Vscan、RBAC、ドメイントンネルなど）が影響を受けます：

 ::> set advanced ::*> vserver cifs session show -vserver <vserver> -fields auth-mechanism,address,windows-user node vserver session-id connection-id address auth-mechanism windows-user ------------ --------- -------------------- ------------- ------------ -------------- ------------ netapp-01a <vserver> 17134789207261194186 2550496605 10.62.125.88 NTLMv2 DEMO\user6 netapp-01b <vserver> 17134789207261194188 2550496606 10.216.29.42 Kerberos DEMO\Administrator 2 entries were displayed.

注：Kerberos 認証の試行に失敗した場合、NTLM（NTLMv1 または NTLMv2）がデフォルトのフォールバックです。

影響：NTLM を使用するすべての CIFS ドメイン認証は、DC サーバのパッチアップグレード後に失敗します：[1]CONTAP-80033：Netlogon RPC シーリングの適用により NTLM 認証が失敗します
2023 年 6 月 13 日 -Microsoft の CVE-2022-38023 パッチがインストールされる "既定で適用" フェーズの前に、SU530 に従ったアクションが必要です

各フェーズはONTAPにどのように影響しますか？

Microsoft のフェーズ	変更内容	ONTAP 9にはどのような影響がありましたか？	どのようなオプションがありますか？
2023年7月- 適用フェーズ	2023年7月11日にリリースされたWindows更新プログラムでは、RequireSeal：1を設定する機能が削除されます RequireSeal は強制的に 2 となり、レジストリ値の内容は無視されます。	修正バージョンのCONTAP-80033: NTLM authentication fails due to enforcement of Netlogon RPC sealingにアップグレードしないかぎり、すべてのNTLM認証が失敗します下記を参照： RequireSeal：2が設定された場合のONTAPへの影響	固定バージョンのCONTAP-80033にアップグレードする：Netlogon RPCシーリングの強制によりNTLM認証が失敗するクライアントがKerberos認証を利用することで、Netlogon/NTLMドメイン認証への依存を回避できる

Microsoft のフェーズ

変更内容

ONTAP 9にはどのような影響がありましたか？

どのようなオプションがありますか？

2023年7月- 適用フェーズ

2023年7月11日にリリースされたWindows更新プログラムでは、RequireSeal：1を設定する機能が削除されます

RequireSeal は強制的に 2 となり、レジストリ値の内容は無視されます。

修正バージョンのCONTAP-80033: NTLM authentication fails due to enforcement of Netlogon RPC sealingにアップグレードしないかぎり、すべてのNTLM認証が失敗します
下記を参照： RequireSeal：2が設定された場合のONTAPへの影響

固定バージョンのCONTAP-80033にアップグレードする：Netlogon RPCシーリングの強制によりNTLM認証が失敗する
クライアントがKerberos認証を利用することで、Netlogon/NTLMドメイン認証への依存を回避できる

ONTAPへの影響（RequireSeal：1を設定した場合）：

CONTAP-80033：Netlogon RPC シーリングの適用により NTLM 認証が失敗する
ドメインコントローラで次のイベント ID 5838 が Warningとして記録されることがある

ONTAP への影響（RequireSeal：2 設定後）：

ONTAPがパッチ未適用の場合、SVMがNTLM認証を試みると、パッチが適用されたドメインコントローラはAccess Deniedを返し、その要求は失敗します
EMS Syslog Translator for secd.cifsAuth.problem エントリを含む：

FAILURE: Pass-through authentication failed. (NT Status: NT_STATUS_NO_LOGON_SERVERS(0xc000005e))

EMSは、使用可能なDCがないことを示す以下のイベントも示します。

secd.netlogon.noServers: None of the Netlogon servers configured for Vserver (vs1) are currently accessible via the network.

ドメインコントローラは、次のイベント ID 5838 を Errorとして記録する場合があります

Log Name: System Source: NETLOGON Date: 2/22/2023 3:17:28 PM Event ID: 5838 Task Category: None Level: Error Keywords: Classic User: N/A Computer: dc1.demo.netapp.local Description: The Netlogon service encountered a client using RPC signing instead of RPC sealing. Machine SamAccountName: CIFSSERVERNAME

追加情報

ドメインコントローラで以下のコマンドを実行して、イベントID 5838を確認できます。

>Get-WinEvent -LogName "System" | Where-Object -Property Id -eq 5838