VMware a îndemnat astăzi administratorii să elimine un plugin de autentificare întrerupt expus la atacuri de relay de autentificare și de preluare a sesiunilor în medii de domeniu Windows prin două vulnerabilități de securitate neacoperite.
Plugin-ul vulnerabil de autentificare îmbunătățit de VMware (EAP) permite conectarea fără sudură la interfețele de management vSphere prin funcționalitatea integrată de autentificare Windows și de card inteligent bazat pe Windows pe sistemele client Windows.
VMware a anunțat deprecerea EAP acum aproape trei ani, în martie 2021, odată cu lansarea vCenter Server 7.0 Update 2.
Urmărite ca CVE-2024-22245 (scor de bază 9.6/10 CVSSv3) și CVE-2024-22250 (7.8/10), cele două probleme de securitate remediate astăzi pot fi folosite de atacatorii răuvoitori pentru a retransmite biletele de serviciu Kerberos și a prelua sesiuni EAP privilegiate.
„Un actor răuvoitor ar putea să păcălească un utilizator țintă de domeniu cu EAP instalat în browserul lor web să solicite și să retransmită bilete de serviciu pentru Numele Principal de Serviciu al Directorului Activ (SPN) arbitrar,” explică VMware atunci când descrie vectorii de atac cunoscuți pentru CVE-2024-22245.
„Un actor răuvoitor cu acces local neprivilegiat la un sistem de operare Windows poate prelua o sesiune EAP privilegiată atunci când este inițiată de un utilizator de domeniu privilegiat pe același sistem,” a adăugat compania despre CVE-2024-22250.
Compania a adăugat că în prezent nu are dovezi că vulnerabilitățile de securitate au fost vizate sau exploatate în sălbăticie.
Pentru a remedia problemele de securitate CVE-2024-22245 și CVE-2024-22250, administratorii trebuie să elimine atât pluginul/clientul din browser (Pluginul de Autentificare Îmbunătățit VMware 6.7.0) cât și serviciul Windows (Serviciul de Plugin VMware).
Pentru a le dezinstala sau a dezactiva serviciul Windows dacă eliminarea nu este posibilă, puteți rula următoarele comenzi PowerShell (așa cum este recomandat aici):
Din fericire, VMware EAP învechit nu este instalat în mod implicit și nu face parte din produsele VMware vCenter Server, ESXi sau Cloud Foundation.
Administratorii trebuie să îl instaleze manual pe stațiile de lucru Windows folosite pentru sarcini de administrare pentru a permite conectarea directă atunci când se utilizează Clientul VMware vSphere printr-un browser web.
Ca alternativă la acest plugin de autentificare vulnerabil, VMware îndeamnă administratorii să utilizeze alte metode de autentificare VMware vSphere 8 precum Active Directory peste LDAPS, Serviciile de Federație a Directorului Activ Microsoft (ADFS), Okta și ID-ul de Intrare Microsoft (fostul Azure AD).
Luna trecută, VMware a confirmat și că o vulnerabilitate critică de execuție de cod la distanță a vCenter Server (CVE-2023-34048) remediată în octombrie era exploatată activ.
Mandiant a dezvăluit că grupul de spionaj cibernetic chinezesc UNC3886 a abuzat de aceasta ca zero-day timp de mai mult de doi ani, începând cel puțin la sfârșitul anului 2021.
VMware confirmă faptul că defectul critic al vCenter este acum exploatat în atacuri
Joomla rezolvă problemele de XSS care ar putea expune site-urile la atacuri RCE
Defect critic ScreenConnect acum sub atac pe măsură ce apare codul de exploatare
Guvernul SUA dezvăluie mai multe atacuri de răscumpărare asupra instalațiilor de apă
ConnectWise îndeamnă administratorii ScreenConnect să remedieze defectul critic RCE