VMware Enhanced Authentication Plug-in (EAP), плагин для VMware vSphere, имеет две уязвимости (CVE-2024-22245, CVE-2024-22250), которые могут быть использованы злоумышленниками для организации атак на ретрансляцию аутентификации и перехват сеанса.
Уязвимости не были устранены и не будет исправляться . Вместо этого VMware призывает администраторов удалить плагин EAP, об окончании поддержки которого было объявлено еще в 2021 году.
Об уязвимостях
Плагин EAP устанавливается на клиентских рабочих станциях для обеспечения единого входа (SSO) в интерфейсы управления и инструменты vSphere, но по умолчанию он не установлен.
CVE-2024-22245 – это уязвимость передачи произвольной аутентификации, которую можно использовать через вредоносный публичный сайт для запроса произвольных билетов службы Kerberos от имени посетившего его пользователя.
CVE-2024-22250, уязвимость перехвата сеанса, позволяет «локальным пользователям запрашивать билеты Kerberos у других пользователей во время аутентификации в веб-консоли VMware vSphere» – так объясняет Сери Кобурн, консультант по информационной безопасности из Pen Test Partners, который сообщил об этих двух дефектах еще в октябре 2023 года.
«В отличие от первого CVE, этот не требует взаимодействия с подозрительным веб-сайтом. Злоумышленник просто дожидается аутентификации на легитимной странице входа в vCenter, чтобы перехватить сессию пользователя».
- Сери Кобурн, консультант по информационной безопасности из Pen Test Partners
Что делать?
VMware «не знает ни об одной успешной эксплуатации этих уязвимостей.
Компания разработала процесс удаления устаревшего плагина, который включает два этапа: удаление плагина/клиента в браузере и удаление связанной с ним службы Windows («VMware Plug-in Service»).
В случае если плагин не удается удалить, администраторам следует остановить/отключить службу Windows или брандмауэр входящего/исходящего TCP-трафика на vmware-plugin:8094.
Кобурн также выразил недовольство тем, сколько времени потребовалось VMware для анализа его результатов, а также выбранным курсом действий.
«К сожалению, VMware решила не исправлять проблему, поскольку считает, что плагин расширенной аутентификации больше не поддерживается, хотя линейка продуктов vSphere 7, использующая плагин, поддерживается до апреля 2025 года. К сожалению, это означает, что вы больше не сможете выполнять аутентификацию на основе SSO в веб-консоли vSphere v7 и будете вынуждены перейти на линейку продуктов v8, хотя v7 по-прежнему поддерживается, если вы все еще хотите использовать SSO».
VMware vSphere 8 поддерживает различные методы аутентификации, включая подключения к Active Directory через LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta и Microsoft Entra ID (ранее Azure AD). Мы рекомендуем настроить один из этих источников».
- заявили в Vmwares
Комментарии (0)