Η VMware προτρέπει τους διαχειριστές να αφαιρέσουν ένα authentication plugin, που είναι ευάλωτο σε relay και session hijack επιθέσεις, λόγω δύο ευπαθειών. Πρόκειται για το VMware Enhanced Authentication Plug-in (EAP) που επιτρέπει την απρόσκοπτη σύνδεση στις διεπαφές διαχείρισης του vSphere μέσω ενσωματωμένου ελέγχου ταυτότητας Windows (Windows Authentication) και Windows-based smart card λειτουργιών σε Windows client systems.
Η VMware ανακοίνωσε την κατάργηση του EAP τον Μάρτιο του 2021, με την κυκλοφορία του vCenter Server 7.0 Update 2.
Δείτε επίσης: 28,500 Exchange servers ευάλωτοι σε γνωστή ευπάθεια
Οι δύο ευπάθειες στο plugin παρακολουθούνται ως CVE-2024-22245 και CVE-2024-22250 και μπορούν να επιτρέψουν στους επιτιθέμενους να κάνουν relay τα Kerberos service tickets και να πάρουν τον έλεγχο privileged EAP sessions.
“Ένας κακόβουλος παράγοντας θα μπορούσε να ξεγελάσει έναν domain user με το EAP εγκατεστημένο στο πρόγραμμα περιήγησής του, ώστε να ζητήσει και να αναμεταδώσει service tickets για αυθαίρετα Active Directory Service Principal Names (SPNs)“, λέει η VMware σχετικά με την ευπάθεια CVE-2024-22245.
“Ένας κακόβουλος παράγοντας με μη προνομιακή τοπική πρόσβαση σε ένα λειτουργικό σύστημα Windows, μπορεί να παραβιάσει ένα privileged EAP session, όταν εκκινηθεί από privileged domain user στο ίδιο σύστημα“, είπε η εταιρεία σχετικά με το CVE-2024-22250.
Τρόποι προστασίας
Οι διαχειριστές καλούνται να καταργήσουν το in-browser plugin/client (VMware Enhanced Authentication Plug-in 6.7.0) αλλά και την υπηρεσία Windows (VMware Plug-in Service).
Δείτε επίσης: Hackers εκμεταλλεύονται ευπάθεια στο Bricks Builder WordPress Theme
Για την απεγκατάστασή τους ή την απενεργοποίηση του Windows service (εάν η αφαίρεση δεν είναι δυνατή), είναι χρήσιμη η εκτέλεση των ακόλουθων εντολών PowerShell:
Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"Το ευάλωτο VMware EAP δεν είναι εγκατεστημένο από προεπιλογή και δεν αποτελεί μέρος των προϊόντων vCenter Server, ESXi ή Cloud Foundation της VMware. Οπότε κινδυνεύουν μόνο όσοι το έχουν εγκαταστήσει manually.
Αντί για το ευάλωτο authentication plugin, η VMware προτείνει άλλες μεθόδους ελέγχου ταυτότητας VMware vSphere 8, όπως Active Directory μέσω LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta και Microsoft Entra ID (πρώην Azure AD).
Δείτε επίσης: Ευπάθεια KeyTrap: Διακοπή πρόσβασης στο διαδίκτυο με πακέτο DNS
Η αντίδραση της κοινότητας των διαχειριστών αναμένεται να είναι γενικά θετική, με πολλούς να αναγνωρίζουν την επείγουσα ανάγκη για δράση και απομάκρυνση του ευάλωτου plugin.
Ωστόσο, σίγουρα θα υπάρξουν κάποιοι διαχειριστές που μπορεί να ανησυχούν για τις πιθανές συνέπειες της απομάκρυνσης του plugin, όπως η δυσκολία στην πρόσβαση και τη διαχείριση των συστημάτων τους. Παρά τις πιθανές αυτές ανησυχίες, είναι σημαντικό να αναγνωριστεί η ανάγκη για προστασία των συστημάτων με βάση τις οδηγίες της VMware.
Η προστασία των ψηφιακών συστημάτων πρέπει να θεωρείται προτεραιότητα, αφού είναι κρίσιμη για τη διασφάλιση της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας των δεδομένων και των πληροφοριών. Χωρίς αποτελεσματική προστασία, τα ψηφιακά συστήματα είναι ευάλωτα σε επιθέσεις που μπορούν να προκαλέσουν σοβαρές ζημιές.
Πηγή: www.bleepingcomputer.com
, λόγω δύο ευπαθειών.){kind=link}