VMware bugün yöneticileri, yama yapılmadan bırakılan iki güvenlik açığı nedeniyle Windows etki alanı ortamlarında kimlik doğrulama geçişi ve oturum ele geçirme saldırılarına maruz kalan, durdurulan bir kimlik doğrulama eklentisini kaldırmaya çağırdı.
Güvenlik açığı bulunan VMware Gelişmiş Kimlik Doğrulama Eklentisi (EAP), Windows istemci sistemlerinde entegre Windows Kimlik Doğrulaması ve Windows tabanlı akıllı kart işlevselliği aracılığıyla vSphere’in yönetim arayüzlerinde sorunsuz oturum açmaya olanak tanır.
VMware, neredeyse üç yıl önce, Mart 2021’de vCenter Server 7.0 Güncelleme 2’nin piyasaya sürülmesiyle EAP’nin kullanımdan kaldırıldığını duyurdu.
CVE-2024-22245 (9,6/10 CVSSv3 temel puanı) ve CVE-2024-22250 (7,8/10) olarak izlenen iki güvenlik açığı, bugün yamalanan iki güvenlik açığı, kötü niyetli saldırganlar tarafından Kerberos hizmet biletlerini iletmek ve ayrıcalıklı EAP oturumlarını ele geçirmek için kullanılabilir .
VMware, bilinen CVE-2024-22245 saldırı vektörlerini açıklarken şöyle açıklıyor: “Kötü niyetli bir aktör, web tarayıcısında EAP yüklü olan bir hedef etki alanı kullanıcısını, rastgele Active Directory Hizmeti Ana Adları (SPN’ler) için hizmet biletleri istemesi ve iletmesi için kandırabilir.”
Şirket, CVE-2024-22250 hakkında şunları ekledi: “Windows işletim sistemine ayrıcalıksız yerel erişimi olan kötü niyetli bir aktör, aynı sistemdeki ayrıcalıklı bir etki alanı kullanıcısı tarafından başlatıldığında ayrıcalıklı bir EAP oturumunu ele geçirebilir.”
Şirket, şu anda güvenlik açıklarının hedef alındığına ya da istismar edildiğine dair hiçbir kanıt bulunmadığını da sözlerine ekledi.
Savunmasız sistemlerin güvenliği nasıl sağlanır?
CVE-2024-22245 ve CVE-2024-22250 güvenlik kusurlarını gidermek için yöneticilerin hem tarayıcı içi eklentiyi/istemciyi (VMware Gelişmiş Kimlik Doğrulama Eklentisi 6.7.0) hem de Windows hizmetini kaldırması gerekir (VMware Eklenti Hizmeti).
Bunları kaldırmak veya kaldırma mümkün değilse Windows hizmetini devre dışı bırakmak için aşağıdaki PowerShell komutlarını çalıştırabilirsiniz (burada önerildiği gibi):
Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"
Neyse ki, kullanımdan kaldırılan VMware EAP varsayılan olarak yüklenmez ve VMware’in vCenter Server, ESXi veya Cloud Foundation ürünlerinin bir parçası değildir.
Yöneticilerin, VMware vSphere Client’ı bir web tarayıcısı aracılığıyla kullanırken doğrudan oturum açmayı etkinleştirmek için yönetim görevleri için kullanılan Windows iş istasyonlarına manuel olarak yüklemeleri gerekir.
Bu güvenlik açığı bulunan kimlik doğrulama eklentisine alternatif olarak VMware, yöneticilere LDAPS üzerinden Active Directory, Microsoft Active Directory Federasyon Hizmetleri (ADFS), Okta ve Microsoft Entra ID (eski adıyla Azure AD) gibi diğer VMware vSphere 8 kimlik doğrulama yöntemlerini kullanmalarını önerir.
Geçtiğimiz ay VMware, Ekim ayında yamalanan kritik bir vCenter Server uzaktan kod yürütme güvenlik açığının (CVE-2023-34048) aktif olarak istismar edildiğini doğruladı.
Mandiant, UNC3886 Çinli siber casusluk grubunun, en azından 2021’in sonlarından bu yana, iki yıldan fazla bir süre boyunca bunu sıfır gün olarak kötüye kullandığını ortaya çıkardı.