メインコンテンツまでスキップ

CVE-2022-38023はONTAP 9に影響を与えますか。

Views:
18,848
Visibility:
Public
Votes:
40
Category:
ontap-9
Specialty:
nas
Last Updated:

環境

  • ONTAP 9
  • FSx
  • Cloud Volumes ONTAP(CVO)
  • SMB / CIFS
  • Netlogon(NTLM認証)
  • CVE-2022-38023 - Netlogon RPCの特権昇格の脆弱性

回答

1. NTLMv1またはNTLMv2を使用してドメイン認証用に構成されたONTAP機能 。 CIFS、Vscan、RBAC、ドメイントンネルなどが影響を受ける

 ::> set advanced ::*> vserver cifs session show -vserver <vserver> -fields auth-mechanism,address,windows-user node vserver session-id connection-id address auth-mechanism windows-user ------------ --------- -------------------- ------------- ------------ -------------- ------------ netapp-01a <vserver> 17134789207261194186 2550496605 10.62.125.88 NTLMv2 DEMO\user6 netapp-01b <vserver> 17134789207261194188 2550496606 10.216.29.42 Kerberos DEMO\Administrator 2 entries were displayed. 

:Kerberos認証の試行に失敗した場合、NTLM(NTLMv1または NTLMv2)がデフォルトの フォールバックとなります。

2.影響:DCサーバパッチのアップグレード後にNTLMを使用するすべてのCIFSドメイン認証が失敗する:  RFE 1514175

3.    /Support_Bulletins/Customer_Bulletins/SU530 MicrosoftのCVE-2022-38023パッチがインストールされる2023年6月13日の「デフォルトで適用」段階までに、SU530に基づくアクションが必要です。

 

フェーズはONTAPにどのような影響を与えますか?

Microsoftフェーズ

変更された点

これはONTAP 9にどのような影響を与えましたか?

どのようなオプションがありますか?

2023年7月-施行フェーズ

2023年7月11日にリリースされたWindowsの更新プログラムでは 、 RequireSeal:1を設定する機能が削除されます。

RequireSeal は  2に強制され、レジストリ値の内容は無視されます。

RequireSeal:1が設定された場合のONTAPインパクト:
  • ドメインコントローラが次のイベントID 5838を 警告として記録する可能性があります
「RequireSeal:2」 が設定された場合のONTAPインパクト:
  • ONTAPに パッチが適用されていない場合、SVMがNTLM認証を試行すると、パッチが適用されたドメインコントローラからアクセス拒否が返され、要求が失敗します。
  •  [1] 次のエントリを含むsecd.cifsAuth.problemのEMS Syslog Translator:
FAILURE: Pass-through authentication failed. (NT Status: NT_STATUS_NO_LOGON_SERVERS(0xc000005e))
  • EMSは、使用可能なDCがないことを示す以下のイベントも示します。

secd.netlogon.noServers: None of the Netlogon servers configured for Vserver (vs1) are currently accessible via the network.

  • ドメインコントローラは、次のイベントID 5838を エラーとして記録することがあります。 
Log Name: System Source: NETLOGON Date: 2/22/2023 3:17:28 PM Event ID: 5838 Task Category: None Level: Error Keywords: Classic User: N/A Computer: dc1.demo.netapp.local Description: The Netlogon service encountered a client using RPC signing instead of RPC sealing. Machine SamAccountName: CIFSSERVERNAME

追加情報

  • 以下のコマンドをドメインコントローラで実行して、イベントID 5838を確認できます。

>Get-WinEvent -LogName "System" | Where-Object -Property Id -eq 5838

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.