VMware督促管理员删除易受攻击的认证插件
2024-2-21 18:21:41 Author: mp.weixin.qq.com(查看原文) 阅读量:27 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

今天,VMware 督促管理员删除一个不再使用的认证插件。攻击者利用两个未修复的安全漏洞,可导致该插件被暴露到 Windows 域名环境下的认证中继和会话劫持攻击。

易受攻击的 VMware 增强认证插件 (EAP) 可使用户通过Windows 客户端系统上的一体化 Windows 认证和基于 Windows 的智能卡功能,无缝登录到 vSphere 的管理接口。

VMware在大概3年前的2021年3月,宣布弃用 EAP并推出了 vCenter Server 7.0 Update 2。这两个已被修复的安全漏洞是CVE-2024-22245(CVSS v3 9.6分)和CVE-2024-22250(CVSS v3 7.8分),可导致恶意攻击者中继 Kerberos 服务工单并接管 EAP 权限会话。

VMware 公司在说明CVE-2024-22245的已知攻击向量时提到,“恶意人员可诱骗在 web 浏览器中安装了EAP 的目标域名用户请求并中继任意 SPNs 的服务工单。”针对CVE-2024-22250,该公司提到,“对Windows 操作系统具有低权限的本地访问权限的恶意人员能够劫持 EAP 权限会话,前提是会话由同一系统上的权限域名账户触发。”

VMware 公司提到,目前尚未有证据表明这些漏洞已遭在野利用。

如何确保易受攻击系统的安全

要修复CVE-2024-22245和CVE-2024-22250这两个漏洞,管理员必须同时删除浏览器内插件/客户端(VMware Enhanced Authentication Plug-in 6.7.0)和 Windows 服务 (VMware Plug-in Service)。

如因无法删除而需要卸载或禁用,则必须运行以下 PowerShell 命令:

Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()

Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"

好在已弃用的 VMware EAP 并非默认安装且它并非 VMware的 vCenter Server、ESXi 或 Cloud Foundation 产品的一部分。管理员必须手动将其安装在用于管理任务的 Windows 工作站,在通过 web 浏览器使用 VMware vSphere Client 时启用直接登录。

作为这个易受攻击的认证插件的替代项,VMware 建议管理员使用其它 VMware vSphere 8 认证方法如 Active Directory over LDAPS、Microsoft Active Directory Federation Services (ADFS)、Okata 以及 Microsoft Entra ID(即此前的 Azure AD)。

上个月,VMware 公司还证实称,去年10月修复的一个严重的 vCenter Server 远程代码执行漏洞 (CVE-2024-34048) 正遭活跃利用。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

VMware 披露严重的VCD Appliance认证绕过漏洞,无补丁

VMware 发现34个Windows 驱动易受设备完全接管攻击

VMware 修复严重的 vCenter Server 代码执行漏洞

VMware 修复网络监控产品中的严重漏洞

戴尔 Compellent 硬编码密钥暴露 VMware vCenter 管理员凭据

原文链接
https://www.bleepingcomputer.com/news/security/vmware-urges-admins-to-remove-deprecated-vulnerable-auth-plug-in/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518869&idx=2&sn=accd15841c79ae4dc71415f736248c4a&chksm=ea94bbffdde332e9e7711a1bdb39f702a4a132456726e5e95a074e4055c5280db304ea16187d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh