CVE-2022-38023はONTAP 9に影響を与えますか。
環境
- ONTAP 9
- FSx
- Cloud Volumes ONTAP(CVO)
- SMB / CIFS
- Netlogon(NTLM認証)
- CVE-2022-38023 - Netlogon RPCの特権昇格の脆弱性
回答
- NTLMv1またはNTLMv2を使用してドメイン認証用に構成されたONTAP機能 。例: CIFS、Vscan、RBAC、ドメイントンネルなどが影響を受けます。
::> set advanced ::*> vserver cifs session show -vserver <vserver> -fields auth-mechanism,address,windows-user node vserver session-id connection-id address auth-mechanism windows-user ------------ --------- -------------------- ------------- ------------ -------------- ------------ netapp-01a <vserver> 17134789207261194186 2550496605 10.62.125.88 NTLMv2 DEMO\user6 netapp-01b <vserver> 17134789207261194188 2550496606 10.216.29.42 Kerberos DEMO\Administrator 2 entries were displayed.
注:Kerberos認証の試行に失敗した場合、NTLM(NTLMv1または NTLMv2)がデフォルトの フォールバックとなります。
- 影響:DCサーバパッチのアップグレード後にNTLMを使用するすべてのCIFSドメイン認証が失敗する: RFE 1514175
- /Support_Bulletins/Customer_Bulletins/SU530 MicrosoftのCVE-2022-38023パッチがインストールされる2023年6月13日の「デフォルトで適用」フェーズより前に、SU530に基づくアクションが必要です。
フェーズはONTAPにどのような影響を与えますか?
|
Microsoftフェーズ |
変更された点 |
これはONTAP 9にどのような影響を与えましたか? |
どのようなオプションがありますか? |
|---|---|---|---|
|
2023年7月-施行フェーズ |
2023年7月11日にリリースされたWindowsの更新プログラムでは 、 RequireSeal:1を設定する機能が削除されます。 RequireSeal は 2に強制され、レジストリ値の内容は無視されます。 |
|
|
RequireSeal:1が設定された場合のONTAPインパクト:
- ドメインコントローラが次のイベントID 5838を 警告として記録する可能性があります
「RequireSeal:2」 が設定された場合のONTAPインパクト:
- ONTAPに パッチが適用されていない場合、SVMがNTLM認証を試行すると、パッチが適用されたドメインコントローラからアクセス拒否が返され、要求が失敗します。
- [1] 次のエントリを含むsecd.cifsAuth.problemのEMS Syslog Translator:
FAILURE: Pass-through authentication failed. (NT Status: NT_STATUS_NO_LOGON_SERVERS(0xc000005e))
- EMSは、使用可能なDCがないことを示す以下のイベントも示します。
secd.netlogon.noServers: None of the Netlogon servers configured for Vserver (vs1) are currently accessible via the network.
- ドメインコントローラは、次のイベントID 5838を エラーとして記録することがあります。
Log Name: System Source: NETLOGON Date: 2/22/2023 3:17:28 PM Event ID: 5838 Task Category: None Level: Error Keywords: Classic User: N/A Computer: dc1.demo.netapp.local Description: The Netlogon service encountered a client using RPC signing instead of RPC sealing. Machine SamAccountName: CIFSSERVERNAME
追加情報
- 以下のコマンドをドメインコントローラで実行して、イベントID 5838を確認できます。
>Get-WinEvent -LogName "System" | Where-Object -Property Id -eq 5838
- How to回避策impact seen after applying CVE-2022-38023 on domain controllers after June 13 2023.(英語)
- WindowsドメインコントローラでRequireSealを互換モードに手動で設定する方法。
- CVE-2022-38023 NetAppコンテキスト:
- CIFS認証形式を識別するために役立つコマンドを次に示します。
- ONTAPユーザ(RBAC)認証:
- CIFS / SMBクライアント認証:
- Kerberos: