VMware vCenter Server 8.0’da neredeyse bir yıl önce keşfedilen yüksek önem düzeyine sahip bir güvenlik açığı henüz yamalanmadı (yeni sekmede açılır)şirket onayladı.
CVE-2021-22048 olarak izlenen kusur, bir ayrıcalık yükseltme güvenlik açığı olarak tanımlanıyor ve yönetici olmayan kullanıcıların yama uygulanmamış sunucularda ayrıcalıklarını yükseltmelerine olanak tanıyor. Kasım 2021’de vCenter Sunucusunun Tümleşik Windows Kimlik Doğrulama mekanizmasında (IWA) keşfedildi.
O sırada, kusurdan başarıyla yararlanan tehdit aktörlerinin “kullanıcı verilerinin ve/veya işlem kaynaklarının kullanıcı yardımı veya kimliği doğrulanmış saldırganlar tarafından gizliliğini ve/veya bütünlüğünü tamamen tehlikeye atabileceği” söylenmişti.
Mevcut geçici çözümler
Yama hala beklemede, ancak deneme eksikliğinden değil. VMware aslında bu yılın Temmuz ayında en güncel sürümü (BleepingComputer’a göre vCenter Server 7.0 Güncelleme 3f) çalıştıran sunucular için kusuru gidermeye çalışan bir güvenlik güncellemesi yayınladı.
Ancak şirket, sorunu çözmediği ve yama sırasında Secure Token Service’in (vmware-stsd) çökmesine neden olduğu için iki haftadan kısa bir süre sonra yamayı geri çekmek zorunda kaldı.
VMware, o sırada güvenlik tavsiyesinde “VMware, daha önce yanıt matrisinde bahsedilen vCenter 7.0u3f güncellemelerinin CVE-2021-22048’i düzeltmediğini ve işlevsel bir sorun oluşturmadığını belirledi.” Dedi.
Yama kullanıma sunulana kadar, etkilenen sistemleri çalıştıran BT yöneticilerinin, LDAP kimlik doğrulaması VEYA AD FS için Kimlik Sağlayıcı Federasyonu (vSphere 7.0) üzerinden IWA’dan Active Directory’ye geçerek bir geçici çözüm dağıtmaları önerilir.
Şirket, “LDAP üzerinden Active Directory kimlik doğrulaması bu güvenlik açığından etkilenmez” dedi ve “Ancak VMware, müşterilerin başka bir kimlik doğrulama yöntemine geçmeyi planlamasını şiddetle tavsiye ediyor.”
Ayrıca, VMware, “LDAP’ler üzerinden Active Directory etki alanı güvenlerini anlamaz, bu nedenle bu yönteme geçen müşterilerin güvenilen etki alanlarının her biri için benzersiz bir kimlik kaynağı yapılandırması gerekecek” dedi. “AD FS için Kimlik Sağlayıcı Federasyonu buna sahip değil. kısıtlama.”
Aracılığıyla BleeBilgisayar (yeni sekmede açılır)