CVE-2022-38023はONTAP 9に影響がありますか。
環境
- ONTAP 9
- FSX
- Cloud Volumes ONTAP(CVO)
- SMB / CIFS
- Netlogon(NTLM認証)
- CVE-2022-38023 - Netlogon RPC特権昇格の脆弱性
回答
- NTLMv1またはNTLMv2を使用してドメイン認証用に設定されたONTAPの機能(例:CIFS、Vscan、RBAC、ドメイン トンネルなど)が影響を受けます:
::> set advanced ::*> vserver cifs session show -vserver <vserver> -fields auth-mechanism,address,windows-user node vserver session-id connection-id address auth-mechanism windows-user ------------ --------- -------------------- ------------- ------------ -------------- ------------ netapp-01a <vserver> 17134789207261194186 2550496605 10.62.125.88 NTLMv2 DEMO\user6 netapp-01b <vserver> 17134789207261194188 2550496606 10.216.29.42 Kerberos DEMO\Administrator 2 entries were displayed.
注:Kerberos 認証の試行に失敗した場合、NTLM(NTLMv1 または NTLMv2)がデフォルトのフォールバックです。
- 影響:NTLM を使用するすべての CIFS ドメイン認証は、DC サーバのパッチアップグレード後に失敗します:[1]CONTAP-80033:Netlogon RPC シーリングの適用により NTLM 認証が失敗します
- 2023 年 6 月 13 日 -Microsoft の CVE-2022-38023 パッチがインストールされる "既定で適用" フェーズの前に、SU530 に従ったアクションが必要です
各フェーズはONTAPにどのように影響しますか?
Microsoft のフェーズ |
変更内容 |
ONTAP 9にはどのような影響がありましたか? |
どのようなオプションがありますか? |
---|---|---|---|
2023年7月- 適用フェーズ |
2023年7月11日にリリースされたWindows更新プログラムでは、RequireSeal:1を設定する機能が削除されます RequireSeal は強制的に 2 となり、レジストリ値の内容は無視されます。 |
|
|
ONTAPへの影響(RequireSeal:1を設定した場合):
- CONTAP-80033:Netlogon RPC シーリングの適用により NTLM 認証が失敗する
- ドメイン コントローラで次のイベント ID 5838 が Warningとして記録されることがある
ONTAP への影響(RequireSeal:2 設定後):
- ONTAPがパッチ未適用の場合、SVMがNTLM認証を試みると、パッチが適用されたドメイン コントローラはAccess Deniedを返し、その要求は失敗します
- EMS Syslog Translator for secd.cifsAuth.problem エントリを含む:
FAILURE: Pass-through authentication failed. (NT Status: NT_STATUS_NO_LOGON_SERVERS(0xc000005e))
- EMSは、使用可能なDCがないことを示す以下のイベントも示します。
secd.netlogon.noServers: None of the Netlogon servers configured for Vserver (vs1) are currently accessible via the network.
- ドメイン コントローラは、次のイベント ID 5838 を Errorとして記録する場合があります
Log Name: System Source: NETLOGON Date: 2/22/2023 3:17:28 PM Event ID: 5838 Task Category: None Level: Error Keywords: Classic User: N/A Computer: dc1.demo.netapp.local Description: The Netlogon service encountered a client using RPC signing instead of RPC sealing. Machine SamAccountName: CIFSSERVERNAME
追加情報
- ドメイン コントローラで以下のコマンドを実行して、イベントID 5838を確認できます。
>Get-WinEvent -LogName "System" | Where-Object -Property Id -eq 5838
- 2023年6月13日以降、ドメイン コントローラにCVE-2022-38023を適用した後に見られる影響を回避する方法.
- Windowsドメイン コントローラでRequireSealをCompatibility Modeに手動で設定する方法.
- CVE-2022-38023 NetAppコンテキスト:
- CIFS認証形式を特定するための便利なコマンド:
- ONTAPユーザ(RBAC)認証:
- CIFS / SMBクライアント認証:
- Kerberos: