VMware, ciddi güvenlik tehditlerine karşı savunmasız olan, kullanımdan kaldırılmış bir kimlik doğrulama eklentisinin kaldırılması için yöneticilere acil bir öneri yayınladı.
vSphere’in yönetim arayüzlerine kesintisiz oturum açma yetenekleri sağlayan Gelişmiş Kimlik Doğrulama Eklentisi (EAP), yamalı iki güvenlik açığı nedeniyle kimlik doğrulama aktarma ve oturum ele geçirme saldırılarına karşı hassastır.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Kritik Güvenlik Açıkları Tespit Edildi
CVE-2024-22245 ve CVE-2024-22250 adlı iki güvenlik açığı, Windows etki alanı ortamları için önemli riskler oluşturur.
CVSS puanı 9,6 olan CVE-2024-22245, kötü niyetli bir kişinin Kerberos hizmet biletlerini aktarmasına olanak tanır ve potansiyel olarak ayrıcalıklı EAP oturumlarının ele geçirilmesine yol açar.
7,8 puan alan CVE-2024-22250, yerel erişimi olan bir saldırganın ayrıcalıklı bir etki alanı kullanıcısı tarafından başlatılan bir EAP oturumunu ele geçirmesine olanak tanır.
Bu güvenlik açıkları, Pen Test Partners’tan Ceri Coburn tarafından keşfedildi ve bu kusurların kritik niteliğini kabul eden VMware’e bildirildi.
Keyfi Kimlik Doğrulaması Geçişi Güvenlik Açığı (CVE-2024-22245)
VMware Gelişmiş Kimlik Doğrulama Eklentisinde (EAP), Rastgele Kimlik Doğrulama Aktarımı olarak bilinen bir güvenlik açığı mevcuttur.
Maksimum CVSSv3 temel puanı 9,6 olan VMware, bu sorunun ciddiyetinin Kritik önem aralığına düştüğünü belirlemiştir.
Kötü niyetli bir kişi, hedef etki alanı kullanıcısının web tarayıcısına EAP yükleyerek onları herhangi bir Active Directory Hizmet Asıl Adı (SPN) için hizmet biletleri istemeye ve iletmeye kandırabilir.
Oturum Ele Geçirilmesi Güvenlik Açığı (CVE-2024-22250)
VMware Gelişmiş Kimlik Doğrulama Eklentisi (EAP), yetkisiz kullanıcıların oturumları ele geçirmesine olanak verebilecek bir güvenlik açığına sahiptir.
Bu güvenlik açığının maksimum CVSSv3 taban puanı 7,8’dir ve VMware bunu kritik önem derecesinde sınıflandırmıştır.
Aynı makinedeki ayrıcalıklı bir etki alanı kullanıcısı ayrıcalıklı bir EAP oturumu başlatabilir, ancak Windows’a ayrıcalıksız yerel erişimi olan bir saldırgan bunu ele geçirebilir.
Kullanıcılar ve Kuruluşlar Üzerindeki Etki
Kullanımdan kaldırılan EAP, varsayılan olarak yüklenmez ve VMware’in vCenter Server, ESXi veya Cloud Foundation gibi temel ürünlerinin bir parçası değildir.
Ancak yönetim görevleri için kullanılan Windows iş istasyonlarına manuel olarak yüklenmiş olabilir.
EAP’deki bu güvenlik açıkları, kuruluşları sanallaştırılmış ortamlarına yetkisiz erişim ve kontrol riskiyle karşı karşıya bırakabilir ve potansiyel olarak veri ihlallerine ve sistem kesintilerine yol açabilir.
VMware’in Yanıtı ve Önerileri
VMware, EAP’nin kullanımdan kaldırılması ve modern web tarayıcısının güvenlik özelliklerini atlamanın getirdiği güvenlik riskleri nedeniyle EAP’ye yama uygulamamaya karar verdi.
Bunun yerine VMware, sistemleri olası saldırılara karşı korumak için EAP’nin tamamen kaldırılmasını önerir.
Şirket, eklentiyi ve ilgili Windows hizmetini kaldırmak için PowerShell komutları sağladı.
Kaldırmak için
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Windows hizmetini durdurun ve devre dışı bırakın
Seçenek 1 – Toplu İş/CMD
sc stop CipMsgProxyServicesc config CipMsgProxyService start= disabled
Seçenek 2 – Powershell
Stop-Service-Name"CipMsgProxyService"Set-Service-Name"CipMsgProxyService"-StartupType"Disabled"
VMware, güvenlik açığı bulunan eklentiye alternatif olarak LDAPS üzerinden Active Directory, Microsoft Active Directory Federasyon Hizmetleri (ADFS), Okta ve Microsoft Entra ID24 gibi diğer kimlik doğrulama yöntemlerinin kullanılmasını öneriyor.
VMware’in tavsiyeleri, güncel ve güvenli kimlik doğrulama mekanizmalarının sürdürülmesinin öneminin altını çiziyor.
EAP kullanan kuruluşlar, eklentiyi kaldırmak için derhal harekete geçmeli ve ortamlarını potansiyel istismardan korumak için desteklenen kimlik doğrulama yöntemlerine geçmelidir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.