VMware vSphere için bir eklenti olan VMware Geliştirilmiş Kimlik Doğrulama Eklentisi (EAP), saldırganların kimlik doğrulama geçişi ve oturum ele geçirme saldırıları düzenlemek için kullanabileceği iki güvenlik açığına (CVE-2024-22245, CVE-2024-22250) sahiptir.
Güvenlik açıkları düzeltilmedi ve düzeltilmeyecek. Bunun yerine VMware, yöneticileri 2021’de kullanımdan kaldırılacağı duyurulan EAP eklentisini kaldırmaya çağırıyor.
Güvenlik açıkları hakkında (CVE-2024-22245, CVE-2024-22250)
EAP eklentisi, vSphere’in yönetim arayüzlerinde ve araçlarında tek oturum açmaya (SSO) izin vermek için istemci iş istasyonlarına yüklenir, ancak varsayılan olarak yüklenmez.
CVE-2024-22245, kötü amaçlı bir genel web sitesi aracılığıyla, onu ziyaret eden kullanıcı adına rastgele Kerberos hizmet biletleri talep etmek için kullanılabilen, rastgele bir kimlik doğrulama geçişi güvenlik açığıdır.
Bir oturum ele geçirme güvenlik açığı olan CVE-2024-22250, Pen Test Partners’ın bilgi güvenliği danışmanı Ceri Coburn’un açıkladığı gibi, “yerel kullanıcıların VMware vSphere web konsolunda kimlik doğrulama sırasında diğer kullanıcılardan Kerberos biletleri istemesine” olanak tanıyor. Ekim 2023’teki kusurlar.
“İlk CVE’den farklı olarak bu, şüpheli bir web sitesiyle etkileşimi gerektirmiyor. Saldırgan, kullanıcı oturumunu ele geçirmek için meşru bir vCenter oturum açma sayfasında kimlik doğrulamanın yapılmasını bekler.”
Coburn, CVE’lerle ilgili bazı teknik detayları paylaştı ve bunlardan nasıl yararlanılabileceğini açıkladı.
Ne yapalım?
VMware “bu güvenlik açıklarının ‘ortalıkta’ herhangi bir şekilde istismar edildiğinin farkında değil.”
Şirket, kullanımdan kaldırılan eklentiyi kaldırma sürecini ana hatlarıyla açıkladı; bu süreç iki adımdan oluşuyor: tarayıcı içi eklentiyi/istemciyi kaldırmak ve ilgili Windows hizmetini (“VMware Plug-in Service”) kaldırmak.
Eklentinin kaldırılamaması durumunda yöneticiler Windows hizmetini veya vmware-plugin:8094’e giden güvenlik duvarı gelen/giden TCP trafiğini durdurmalı/devre dışı bırakmalıdır.
Coburn ayrıca VMware’in bulgularını analiz etmesinin ne kadar uzun sürdüğü ve seçtikleri eylem planı konusundaki memnuniyetsizliğini de dile getirdi.
“Ne yazık ki VMware, eklentiyi kullanan vSphere 7 ürün grubu Nisan 2025’e kadar desteklenmeye devam etmesine rağmen gelişmiş kimlik doğrulama eklentisinin artık desteklenmediğini düşündüğü için sorunu düzeltmemeye karar verdi. Ne yazık ki bu, eklentiyi artık desteklemeyeceğiniz anlamına geliyor. vSphere v7 web konsolunda SSO tabanlı kimlik doğrulaması gerçekleştirebileceksiniz ve SSO’dan yararlanmaya devam etmek istiyorsanız v7 hala destekleniyor olsa bile v8 ürün serisine yükseltme yapmak zorunda kalacaksınız” dedi.
Vmware, “VMware vSphere 8, LDAPS üzerinden Active Directory’ye bağlantılar, Microsoft Active Directory Federasyon Hizmetleri (ADFS), Okta ve Microsoft Entra ID (eski adıyla Azure AD) dahil olmak üzere bir dizi kimlik doğrulama yöntemini destekliyor” dedi. “Bu kaynaklardan birini yapılandırmanızı öneririz.”