VSphere için kullanımdan kaldırılmış bir kimlik doğrulama eklentisi olan gelişmiş kimlik doğrulama eklentisi (EAP), biri kritik olmak üzere iki güvenlik açığı taşır ve kullanıcılar tarafından devre dışı bırakılması gerekir.
EAP, Windows kimlik doğrulaması ve Windows tabanlı akıllı kart desteği sağladı ve VMware, Mart 2021’de kullanımdan kaldırıldığını duyurdu.
VMware’in tavsiye belgesi, CVSS puanı 9,6 olan CVE-2024-22245’i kritik güvenlik açığı olarak tanımladı.
Bu, rastgele bir kimlik doğrulama aktarma hatasıdır. VMware şöyle açıkladı: “Kötü niyetli bir aktör, web tarayıcısında EAP yüklü olan bir hedef etki alanı kullanıcısını, rastgele Active Directory Hizmet Asıl Adları (SPN’ler) için hizmet biletleri istemesi ve iletmesi için kandırabilir.”
İkinci güvenlik açığı olan CVE-2024-22250’nin CVSS puanı 7,8’dir.
Bu, yalnızca yerel bir saldırganın kullanabileceği bir oturum ele geçirme güvenlik açığıdır.
VMware’in tavsiye belgesinde, “Windows işletim sistemine ayrıcalıksız yerel erişimi olan kötü niyetli bir aktör, aynı sistemdeki ayrıcalıklı bir etki alanı kullanıcısı tarafından başlatıldığında ayrıcalıklı bir EAP oturumunu ele geçirebilir” denildi.
Hatalar Pen Test Partners’tan Ceri Coburn tarafından keşfedildi ve rapor edildi.
EAP’ye neden yama uygulanmayacağını açıklayan VMware, “EAP’yi kullanmak için kuruluşların modern web tarayıcılarındaki önemli güvenlik özelliklerini atlamaları gerekeceğini ve bunun tavsiye edilmediğini” yazdı.
Alternatif kimlik doğrulama yöntemleri arasında Active Directory’ye LDAPS üzerinden bağlanma, Active Directory federasyon hizmetleri, Okta ve Microsoft Entra ID yer alır.