VMware, ağ yöneticilerini, VSphere için, Windows istemci sistemine erişimi olan saldırganların bulut bilişim oturumlarını ele geçirmesine olanak tanıyan, biri kritik olan iki kusuru olan güncel olmayan bir eklentiyi kaldırmaya çağırıyor.
VMware bu hafta bir yayınladı güvenlik danışmanlığı kusurları ele almak – biri şu şekilde izlenir: CVE-2024-222459,6 önem derecesine sahip ve biri şu şekilde izleniyor: CVE-2024-22250VMware Gelişmiş Kimlik Doğrulama Eklentisi’nde (EAP) bulunan önem derecesi 7,8 olan . EAP, Windows istemci sistemlerinde entegre Windows Kimlik Doğrulaması ve Windows tabanlı akıllı kart işlevselliği aracılığıyla vSphere’in yönetim arayüzlerinde oturum açmayı kolaylaştırıyor. bir blog yazısı güvenlik açığı tespit güvenlik firması Vulnera tarafından.
CVE-2024-22245 isteğe bağlı bir kimlik doğrulama geçişidir güvenlik açığıVMware’e göre CVE-2024-22250 bir oturum ele geçirme hatasıdır. Tehdit aktörleri “Kerberos hizmet biletlerini iletmek ve ayrıcalıklı EAP oturumlarının kontrolünü ele geçirmek için” CVE-2024-22245’ten yararlanabilir; CVE-2024-22250 ise Windows işletim sistemine ayrıcalıksız yerel erişimi olan kötü niyetli bir aktör tarafından “ayrıcalıklı bir erişimi ele geçirmek” için kullanılabilir. Vulnera’ya göre, aynı sistemdeki ayrıcalıklı bir etki alanı kullanıcısı tarafından başlatıldığında EAP oturumu.
Şirket, güvenlik açıklarını keşfettiği ve bunları sorumlu bir şekilde açıkladığı için Pen Test Partners’tan Ceri Coburn’a itibar etti. bir blog yazısı Bugün Pen Testi tarafından yayınlanan test 17 Ekim’de yapıldı. VMware, bir güvenlik açığı tavsiyesi ve hafifletme önerisi yayınlamanın neden birkaç ay sürdüğüne dair bir açıklama sunmadı.
Kusurlar Nasıl Çalışır?
EAP, VMware’in veri merkezi ortamlarından CPU, depolama ve ağ kaynaklarından oluşan toplu bulut bilişim altyapıları oluşturan sanallaştırma platformu vSphere’in Web konsolu için kusursuz bir oturum açma deneyimi yaratır.
Kusurların daha da derinine inersek, Pen Test’in blog gönderisine göre, kritik CVE-2024-22245, kötü amaçlı bir web sitesinin tipik vCenter oturum açma sayfasının kullandığı kimlik doğrulama akışının aynısını tetiklemesine izin veren bir Kerberos geçişi güvenlik açığıdır. Bu senaryoda EAP, son kullanıcıya bir web sitesinin eklentiyle iletişim kurmaya çalıştığını bildirecektir ve kullanıcının da bunu kabul etmesi gerekir; ancak, isteği kabul eden, şüphelenmeyen bir kullanıcı, saldırılara karşı savunmasız kalır.
Pen Test’in gönderisine göre, “Kötü amaçlı bir web sitesi, kurbanın Active Directory ağındaki herhangi bir hizmet için kurban kullanıcı olarak Kerberos biletleri talep edebilir.”
Bu arada CVE-2024-22250, ProgramData klasöründe saklanan VMware EAP günlük dosyasında ayarlanan zayıf izinlerle ilgilidir. Günlük dosyası herhangi bir yerel kullanıcının okumasına izin verecek şekilde yapılandırıldığından, Pen Test’e göre bir saldırgan, günlük dosyasından okumak ve yeni oturum kimliklerini dinlemek için otomatik bir komut dosyası oluşturabilir.
Yeni bir oturum kimliği günlüğe kaydedildiğinde, bir saldırgan diğer oturumlardaki kullanıcılar adına rastgele hizmet biletleri talep edebilir ve ardından diğer oturumdan ele geçirilen kullanıcı olarak Active Directory ağı içinde yapılandırılmış Kerberos ile ilgili hizmetlere erişebilir.
Pen Test’e göre “İlk CVE’den farklı olarak bu, şüpheli bir web sitesiyle etkileşim gerektirmiyor.” “Saldırgan, meşru bir vCenter oturum açma sayfasında kimlik doğrulamanın gerçekleşmesini bekler, [then hijacks] kullanıcı oturumu.”
Savunmasız Eklentiyi Şimdi Kaldır
VMware, Mart 2021’de VMware tarafından durdurulan EAP’ye yama uygulayarak yanıt vermedi. vCenter Sunucusu 7.0 Güncelleme 2 — ancak yöneticilere adım adım talimatlar veriyor kendi sitesindeki makale bu nasıl kaldırılabileceğini açıklıyor.
VMware’e göre şu ana kadar kusurların tehdit aktörleri tarafından kullanıldığına dair bir kanıt yok. Ancak tarihsel olarak tehdit aktörleri VMware kusurlarına saldırın sundukları fırsatlardan dolayı bulut ortamından ödün vermek ve böylece sayısız kurumsal kaynak ve verilere erişim sağlar. Örneğin, yamalanmış olmasına rağmen saldırganlar daha önce açıklanan bir VMware ESXi hiper yönetici hatası bu yıllarca birçok yönden sömürüldü. Bu nedenle VMware ve güvenlik araştırmacıları, EAP’yi mümkün olan en kısa sürede kaldırarak riski azaltmanın çok önemli olduğunu söyledi.
Pen Test, eklentiyi kullanan vSphere 7 ürün serisinin Nisan 2025’e kadar desteklenmeye devam etmesi nedeniyle yama uygulamasından vazgeçme hareketini “talihsiz” olarak değerlendirdi. Ancak VMware müşterileri için bazı iyi haberler var, vSphere kullanan sistemlerde varsayılan olarak EAP yüklü olmayacak. eklenti VMware’in vCenter Sunucusunda da yer almıyor, ESXiveya Cloud Foundation ürünleri. Vulnera’ya göre yöneticilerin, VMware vSphere Client’ı bir Web tarayıcısı aracılığıyla kullanırken doğrudan oturum açmayı etkinleştirmek için yönetim görevleri için kullanılan Windows iş istasyonlarına EAP’yi manuel olarak yüklemeleri gerekiyor.
VMware, EAP kullanan istemcilere, eklentiyi oluşturan her iki varlığı da (tarayıcı içi eklenti/istemci “VMware Enhanced Authentication Plug-in 6.7.0” ve Windows hizmeti “VMware Plug-in Service”) kaldırmaları talimatını vermiştir. Bu mümkün değilse yöneticiler Windows hizmetini de devre dışı bırakabilir.
VMware, talimatlarına göre bu bileşenlerin her birini kontrol panelinden veya yükleyiciden veya PowerShell’i kullanarak kaldırmak için üç seçenek sunar. Şirket ayrıca LDAPS üzerinden Active Directory, Microsoft Active Directory Federasyon Hizmetleri (ADFS), Okta ve Microsoft Entra ID (eski adıyla Azure AD) gibi VMware vSphere 8 kimlik doğrulama yöntemleri de dahil olmak üzere EAP kullanımına yönelik daha güvenli alternatifler sundu.