聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
易受攻击的 VMware 增强认证插件 (EAP) 可使用户通过Windows 客户端系统上的一体化 Windows 认证和基于 Windows 的智能卡功能,无缝登录到 vSphere 的管理接口。
VMware在大概3年前的2021年3月,宣布弃用 EAP并推出了 vCenter Server 7.0 Update 2。这两个已被修复的安全漏洞是CVE-2024-22245(CVSS v3 9.6分)和CVE-2024-22250(CVSS v3 7.8分),可导致恶意攻击者中继 Kerberos 服务工单并接管 EAP 权限会话。
VMware 公司在说明CVE-2024-22245的已知攻击向量时提到,“恶意人员可诱骗在 web 浏览器中安装了EAP 的目标域名用户请求并中继任意 SPNs 的服务工单。”针对CVE-2024-22250,该公司提到,“对Windows 操作系统具有低权限的本地访问权限的恶意人员能够劫持 EAP 权限会话,前提是会话由同一系统上的权限域名账户触发。”
VMware 公司提到,目前尚未有证据表明这些漏洞已遭在野利用。
要修复CVE-2024-22245和CVE-2024-22250这两个漏洞,管理员必须同时删除浏览器内插件/客户端(VMware Enhanced Authentication Plug-in 6.7.0)和 Windows 服务 (VMware Plug-in Service)。
如因无法删除而需要卸载或禁用,则必须运行以下 PowerShell 命令:
Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"好在已弃用的 VMware EAP 并非默认安装且它并非 VMware的 vCenter Server、ESXi 或 Cloud Foundation 产品的一部分。管理员必须手动将其安装在用于管理任务的 Windows 工作站,在通过 web 浏览器使用 VMware vSphere Client 时启用直接登录。
作为这个易受攻击的认证插件的替代项,VMware 建议管理员使用其它 VMware vSphere 8 认证方法如 Active Directory over LDAPS、Microsoft Active Directory Federation Services (ADFS)、Okata 以及 Microsoft Entra ID(即此前的 Azure AD)。
上个月,VMware 公司还证实称,去年10月修复的一个严重的 vCenter Server 远程代码执行漏洞 (CVE-2024-34048) 正遭活跃利用。
原文始发于微信公众号(代码卫士):VMware督促管理员删除易受攻击的认证插件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论