VMware, vCenter Server’ın IWA (Integrated Windows Authentication) mekanizmasındaki yüksek önem derecesine sahip bir ayrıcalık yükseltme kusurunu açıkladıktan sekiz ay sonra, nihayet etkilenen sürümlerden biri için bir yama yayınladı.
Bu güvenlik açığı (CVE-2021-22048 olarak izlenir ve CrowdStrike’dan Yaron Zinar ve Sagi Sheinfeld tarafından rapor edilir) VMware’in Cloud Foundation hibrit bulut platformu dağıtımlarını da etkiler.
Başarılı bir açıktan yararlanma, saldırganların yama uygulanmamış vCenter Sunucu dağıtımlarına yönetimsel olmayan erişimiyle ayrıcalıkları daha yüksek ayrıcalıklı bir gruba yükseltmelerini sağlar.
VMware’e göre, hata yalnızca hedeflenen sunucunun bulunduğu aynı fiziksel veya mantıksal ağdan, düşük ayrıcalıklar gerektiren ve kullanıcı etkileşimi gerektirmeyen yüksek karmaşıklıktaki saldırıların bir parçası olarak kullanılabilir (ancak, NIST NVD’ler CVE-2021-22048 girişi düşük karmaşıklık saldırılarında uzaktan sömürülebileceğini söylüyor).
Buna rağmen, VMware bu hatanın önem derecesini Önemli önem aralığında olmak üzere değerlendirmiştir, bunun anlamı “İstismar, kullanıcı verilerinin ve/veya işleme kaynaklarının, kullanıcı yardımı veya kimliği doğrulanmış saldırganlar tarafından gizliliğinin ve/veya bütünlüğünün tamamen tehlikeye atılmasıyla sonuçlanır.”
CVE-2021-22048, birden fazla vCenter Sunucusu sürümünü (yani 6.5, 6.7 ve 7.0) etkilerken, şirket vCenter Sunucusu 7.0 Güncellemesi 3f bugün, yalnızca bir güvenlik güncellemesi güvenlik açığını giderir mevcut en son sürümü çalıştıran sunucular için.
Geçici çözüm mevcut
Neyse ki, etkilenen diğer sürümler için yamalar beklemede olsa da, VMware, güvenlik tavsiyesinin sekiz ay önce, 10 Kasım 2021’de ilk kez yayınlanmasından bu yana saldırı vektörünü kaldırmak için bir geçici çözüm sağladı.
VMware, saldırı girişimlerini engellemek için yöneticilere bir ayrı bilgi bankası makalesi Etkilenen Tümleşik Windows Kimlik Doğrulaması’ndan (IWA) LDAP kimlik doğrulaması üzerinden Active Directory’ye VEYA AD FS için Kimlik Sağlayıcı Federasyonu’na (yalnızca vSphere 7.0) geçmek için.
Şirket, “LDAP üzerinden Active Directory kimlik doğrulaması bu güvenlik açığından etkilenmez. Ancak VMware, müşterilerin başka bir kimlik doğrulama yöntemine geçmeyi planlamasını şiddetle tavsiye ediyor” dedi.
“LDAP’ler üzerinden Active Directory etki alanı güvenlerini anlamaz, bu nedenle bu yönteme geçen müşterilerin güvenilen etki alanlarının her biri için benzersiz bir kimlik kaynağı yapılandırması gerekir. AD FS için Kimlik Sağlayıcı Federasyonu bu kısıtlamaya sahip değildir.”
VMware, LDAP’ler üzerinden Active Directory’ye geçiş hakkında ayrıntılı talimatlar sağlar (burada ve burada) ve üzerinde AD FS için Kimlik Sağlayıcı Federasyonuna geçiş.