【重要なお知らせ】
ETERNUS AX/HXシリーズ, ETERNUS NR1000シリーズにおける
WindowsのNetlogon脆弱性対応(CVE-2022-38023)による影響(CIFS接続不可)について
08版:2023年7月7日
富士通株式会社
平素より、ETERNUS AX/HX series, ETERNUS NR1000 series製品をご愛顧いただきまして、誠にありがとうございます。
WindowsのNetlogon脆弱性対応(CVE-2022-38023)による影響(CIFS接続不可)および対処方法について以下に報告させて頂きます。
概要
現象
KB5021130 にて広報されている、Microsoft社から2023年6月13日および7月11日にリリース予定のセキュリティ更新プログラムをActive Directory (AD)ドメインコントローラーに適用すると、Netlogon接続(NTLM認証:Windowsネットワークの認証方式)に失敗し、クライアントからAX/HX seriesおよびNR1000 seriesへのCIFSによる接続ができなくなります。
また、2023年4月11日リリースされたセキュリティ更新プログラムを適用する事でNetlogon接続に失敗し、CIFSによる接続ができなくなる場合があります。詳細は「その他」をご覧ください。
環境
ONTAPがWindowsのActive Directory (AD)ドメインに参加し、Netlogon接続を利用している環境
発生条件
上記環境において、KB5021130 にて広報されている、Microsoft社からリリース予定のセキュリティ更新プログラムをADドメインコントローラーに適用すると発生します。
- 2023年6月13日(Enforcement by default)
- 2023年7月11日(Enforcement phase)
回避策および修正バージョンの適用
KB5021130 にて広報されている、Netlogon脆弱性(CVE-2022-38023)のためのセキュリティ更新プログラムを適用した場合のAX/HX series, NR1000 seriesへの影響に関して以下の通り状況報告させて頂きます。
リリース日 | 強制フェーズ | 対応 |
---|---|---|
2023年6月13日 | Enforcement by default | 以下の回避策で回避できます。 |
2023年7月11日 | Enforcement phase | 以下の回避策が適用できなくなるため、修正バージョンの適用に記載したONTAPの適用をお願いします。回避策に記載したレジストリの"RequireSeal"を用いて動作を変更することができなくなり、レジストリ設定によらずRPCシールが強制されるため、Netlogon接続が失敗します。 |
回避策
ADドメインコントローラーに2023年6月13日に公開される更新プログラムを適用する前に、ADドメインコントローラーのWindows OS側でレジストリを編集し、"RequireSeal"の値を1に設定することで、回避可能です。
※”RequireSeal"の値が1の場合:互換モード
※"RequireSeal"の値が2の場合:強制モード
レジストリの編集手順は下記を参照してください。(Microsoft社ウェブサイト)
KB5021130: How to manage the Netlogon protocol changes related to CVE-2022-38023
修正バージョンの適用
AX/HX series, NR1000 seriesのONTAP(※)に対して以下の修正バージョンをリリースしております。
それ以外のオプションソフトウェアは影響ありません。
7月11日のセキュリティ更新プログラムをADドメインコントローラーに適用する前に、修正ONTAPバージョンの適用をお願いします。
ONTAP入手はダウンロードページ(NR1000 series、AX/HX series)、手順はマニュアル(NR1000 series、AX/HX series)をご参照願います。
NR1000 seriesの場合は、SupportDesk-Webよりダウンロード可能です(ログインにはアカウントが必要です)。
※AX/HX series, NR1000 seriesのオペレーティングシステム
ETERNUS AX/HX series ONTAP
ONTAPバージョン | 修正ONTAPバージョン | 修正バージョンの提供日 |
---|---|---|
9.7P5~9.7P19 | 9.7P22 | 2023年5月12日 |
9.8P2~9.8P16 | 9.8P18 | 2023年5月19日 |
9.9.1P1~9.9.1P14 | 9.9.1P15 | 2023年5月10日 |
9.10.1~9.10.1P8 | 9.10.1P12 | 2023年5月26日 |
9.11.1~9.11.1P3 | 9.11.1P8 | 2023年5月26日 |
9.12.1 | 9.12.1P4 | 2023年7月7日 |
ETERNUS NR1000 series ONTAP
ONTAPバージョン | 修正ONTAPバージョン | 修正バージョンの提供日 |
---|---|---|
~9.7P19 | 9.7P22 | 2023年5月12日 |
9.8P3~9.8P12 | 9.8P18 | 2023年5月19日 |
9.9.1P1~9.9.1P14 | 9.9.1P15 | 2023年5月10日 |
9.10.1~9.10.1P8 | 9.10.1P12 | 2023年5月26日 |
9.11.1~9.11.1P3 | 9.11.1P8 | 2023年5月26日 |
9.12.1 | 9.12.1P4 | 2023年7月7日 |
※ONTAP 7-modeはソフトウェアのサポート終了しておりますので、対応したONTAPの提供はありません。
その他
2023年4月11日に公開されたセキュリティ更新プログラムを適用後に、Netlogon接続に失敗し、CIFSによる接続ができなくなる下記の2つの事象が発生する可能性があります。回避方法がございますので、ご対応ください。
(A)ADドメインコントローラーの誤認識要因
ADドメインコントローラーがONTAPをMicrosoft製品と認識している場合があります。この状態で2023年4月11日にリリースされたセキュリティ更新プログラムにて"RequireSeal"の値を無視してRPCシールが強制されるため、Netlogon接続に失敗し、CIFSによる接続ができなくなります。
以下のWindowsコマンドにてOperatingSystemの項目がWindows10などのMicrosoft製品の場合にNetlogon接続に失敗し、CIFSによる接続ができなくなります。
DistinguishedName : CN=CIFSSERVERNAME,CN=Computers,DC=demo,DC=domaina,DC=local
DNSHostName : cifsservername.demo.domaina.local
Enabled : True
ObjectClass : computer
ObjectGUID : 39c55236-7d8d-4c7d-a24b-aee1899e6053
OperatingSystem : Windows 10 Enterprise
OperatingSystemVersion : 10.0 (194044)
SamAccountName : CIFSSERVERNAME$
SID : S-1-5-21-441962528-1452217077-79953549-1312
UserPrincipalName :
ADドメインコントローラーに、2023年4月11日に公開された更新プログラムを適用する際にADドメインコントローラーがONTAPをMicrosoft製品と認識している場合には以下のWindowsコマンドにて回避できます。
ETERNUS AX/HX seriesの場合
ETERNUS NR1000 seriesの場合
※<CIFSSERVERNAME> は "cifs server show -vserver <vserver名>"コマンドでご確認の上入力ください。
※<バージョン>はお使いの ONTAP版数を入力ください。
(B)"RequireSeal" の要因
2022年11月8日に公開されたセキュリティ更新プログラムを適用する際に"RequireSeal"を2に設定した場合は2023年4月11日に公開されたセキュリティ更新プログラムにてNetlogon接続に失敗し、CIFSによる接続ができなくなります。"RequireSeal"を1に設定する事で回避できます。
脆弱性に関する詳細
詳細については以下のページをご覧ください。
本内容は予告なく変更される場合があります。あらかじめご了承ください。
お問い合わせ窓口
本修正などに関しては、ご契約のサポート&サービス窓口までお問い合わせください。
ストレージシステム ETERNUS製品・サービスに関するお問い合わせ
Webでのお問い合わせ
-
入力フォーム
当社はセキュリティ保護の観点からSSL技術を使用しております。
お電話でのお問い合わせ
-
0120-933-200(通話無料)
富士通コンタクトライン(総合窓口)
受付時間 9時~12時 および 13時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)
この製品に関するお問い合わせは、富士通株式会社のフォームを使用し、2024年4月1日よりエフサステクノロジーズ株式会社が対応いたします。