本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

【重要なお知らせ】
ETERNUS AX/HXシリーズ, ETERNUS NR1000シリーズにおける
WindowsのNetlogon脆弱性対応(CVE-2022-38023)による影響(CIFS接続不可)について

08版:2023年7月7日
富士通株式会社

平素より、ETERNUS AX/HX series, ETERNUS NR1000 series製品をご愛顧いただきまして、誠にありがとうございます。
WindowsのNetlogon脆弱性対応(CVE-2022-38023)による影響(CIFS接続不可)および対処方法について以下に報告させて頂きます。

概要

現象

KB5021130 にて広報されている、Microsoft社から2023年6月13日および7月11日にリリース予定のセキュリティ更新プログラムをActive Directory (AD)ドメインコントローラーに適用すると、Netlogon接続(NTLM認証:Windowsネットワークの認証方式)に失敗し、クライアントからAX/HX seriesおよびNR1000 seriesへのCIFSによる接続ができなくなります。
また、2023年4月11日リリースされたセキュリティ更新プログラムを適用する事でNetlogon接続に失敗し、CIFSによる接続ができなくなる場合があります。詳細は「その他」をご覧ください。

環境

ONTAPがWindowsのActive Directory (AD)ドメインに参加し、Netlogon接続を利用している環境

発生条件

上記環境において、KB5021130 にて広報されている、Microsoft社からリリース予定のセキュリティ更新プログラムをADドメインコントローラーに適用すると発生します。

  • 2023年6月13日(Enforcement by default)
  • 2023年7月11日(Enforcement phase)

回避策および修正バージョンの適用

KB5021130 にて広報されている、Netlogon脆弱性(CVE-2022-38023)のためのセキュリティ更新プログラムを適用した場合のAX/HX series, NR1000 seriesへの影響に関して以下の通り状況報告させて頂きます。

リリース日強制フェーズ対応
2023年6月13日Enforcement by default以下の回避策で回避できます。
2023年7月11日Enforcement phase以下の回避策が適用できなくなるため、修正バージョンの適用に記載したONTAPの適用をお願いします。回避策に記載したレジストリの"RequireSeal"を用いて動作を変更することができなくなり、レジストリ設定によらずRPCシールが強制されるため、Netlogon接続が失敗します。

回避策

ADドメインコントローラーに2023年6月13日に公開される更新プログラムを適用する前に、ADドメインコントローラーのWindows OS側でレジストリを編集し、"RequireSeal"の値を1に設定することで、回避可能です。
※”RequireSeal"の値が1の場合:互換モード
※"RequireSeal"の値が2の場合:強制モード

レジストリの編集手順は下記を参照してください。(Microsoft社ウェブサイト)
KB5021130: How to manage the Netlogon protocol changes related to CVE-2022-38023

修正バージョンの適用

AX/HX series, NR1000 seriesのONTAP(※)に対して以下の修正バージョンをリリースしております。
それ以外のオプションソフトウェアは影響ありません。
7月11日のセキュリティ更新プログラムをADドメインコントローラーに適用する前に、修正ONTAPバージョンの適用をお願いします。
ONTAP入手はダウンロードページ(NR1000 seriesAX/HX series)、手順はマニュアル(NR1000 seriesAX/HX series)をご参照願います。
NR1000 seriesの場合は、SupportDesk-Webよりダウンロード可能です(ログインにはアカウントが必要です)。

※AX/HX series, NR1000 seriesのオペレーティングシステム

ETERNUS AX/HX series ONTAP

ONTAPバージョン修正ONTAPバージョン修正バージョンの提供日
9.7P5~9.7P199.7P222023年5月12日
9.8P2~9.8P169.8P182023年5月19日
9.9.1P1~9.9.1P149.9.1P152023年5月10日
9.10.1~9.10.1P89.10.1P122023年5月26日
9.11.1~9.11.1P39.11.1P82023年5月26日
9.12.19.12.1P42023年7月7日

ETERNUS NR1000 series ONTAP

ONTAPバージョン修正ONTAPバージョン修正バージョンの提供日
~9.7P199.7P222023年5月12日
9.8P3~9.8P129.8P182023年5月19日
9.9.1P1~9.9.1P149.9.1P152023年5月10日
9.10.1~9.10.1P89.10.1P122023年5月26日
9.11.1~9.11.1P39.11.1P82023年5月26日
9.12.19.12.1P42023年7月7日

※ONTAP 7-modeはソフトウェアのサポート終了しておりますので、対応したONTAPの提供はありません。

その他

2023年4月11日に公開されたセキュリティ更新プログラムを適用後に、Netlogon接続に失敗し、CIFSによる接続ができなくなる下記の2つの事象が発生する可能性があります。回避方法がございますので、ご対応ください。

(A)ADドメインコントローラーの誤認識要因

ADドメインコントローラーがONTAPをMicrosoft製品と認識している場合があります。この状態で2023年4月11日にリリースされたセキュリティ更新プログラムにて"RequireSeal"の値を無視してRPCシールが強制されるため、Netlogon接続に失敗し、CIFSによる接続ができなくなります。
以下のWindowsコマンドにてOperatingSystemの項目がWindows10などのMicrosoft製品の場合にNetlogon接続に失敗し、CIFSによる接続ができなくなります。

PS C:\Users\Administrator> Get-ADComputer CIFSSERVERNAME -Properties OperatingSystem,OperatingSystemVersion
DistinguishedName : CN=CIFSSERVERNAME,CN=Computers,DC=demo,DC=domaina,DC=local
DNSHostName : cifsservername.demo.domaina.local
Enabled : True
ObjectClass : computer
ObjectGUID : 39c55236-7d8d-4c7d-a24b-aee1899e6053
OperatingSystem : Windows 10 Enterprise
OperatingSystemVersion : 10.0 (194044)
SamAccountName : CIFSSERVERNAME$
SID : S-1-5-21-441962528-1452217077-79953549-1312
UserPrincipalName :

ADドメインコントローラーに、2023年4月11日に公開された更新プログラムを適用する際にADドメインコントローラーがONTAPをMicrosoft製品と認識している場合には以下のWindowsコマンドにて回避できます。

ETERNUS AX/HX seriesの場合

PS C:\Users\Administrator> Set-ADComputer -Identity <CIFSSERVERNAME> -clear OperatingSystemVersion -OperatingSystem "Fujitsu Release <バージョン>"

ETERNUS NR1000 seriesの場合

PS C:\Users\Administrator> Set-ADComputer -Identity <CIFSSERVERNAME> -clear OperatingSystemVersion -OperatingSystem "NetApp Release <バージョン>"

※<CIFSSERVERNAME> は "cifs server show -vserver <vserver名>"コマンドでご確認の上入力ください。
※<バージョン>はお使いの ONTAP版数を入力ください。

(B)"RequireSeal" の要因

2022年11月8日に公開されたセキュリティ更新プログラムを適用する際に"RequireSeal"を2に設定した場合は2023年4月11日に公開されたセキュリティ更新プログラムにてNetlogon接続に失敗し、CIFSによる接続ができなくなります。"RequireSeal"を1に設定する事で回避できます。

脆弱性に関する詳細

詳細については以下のページをご覧ください。

本内容は予告なく変更される場合があります。あらかじめご了承ください。

お問い合わせ窓口

本修正などに関しては、ご契約のサポート&サービス窓口までお問い合わせください。

ストレージシステム ETERNUS製品・サービスに関するお問い合わせ

Webでのお問い合わせ

  • 入力フォーム

    当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

  • 0120-933-200
    (通話無料)

    富士通コンタクトライン(総合窓口)
    受付時間 9時~12時 および 13時~17時30分
    (土曜・日曜・祝日・当社指定の休業日を除く)

この製品に関するお問い合わせは、富士通株式会社のフォームを使用し、2024年4月1日よりエフサステクノロジーズ株式会社が対応いたします。

ページの先頭へ