聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
易受攻击的 VMware 增强认证插件 (EAP) 可使用户通过Windows 客户端系统上的一体化 Windows 认证和基于 Windows 的智能卡功能,无缝登录到 vSphere 的管理接口。
VMware在大概3年前的2021年3月,宣布弃用 EAP并推出了 vCenter Server 7.0 Update 2。这两个已被修复的安全漏洞是CVE-2024-22245(CVSS v3 9.6分)和CVE-2024-22250(CVSS v3 7.8分),可导致恶意攻击者中继 Kerberos 服务工单并接管 EAP 权限会话。
VMware 公司在说明CVE-2024-22245的已知攻击向量时提到,“恶意人员可诱骗在 web 浏览器中安装了EAP 的目标域名用户请求并中继任意 SPNs 的服务工单。”针对CVE-2024-22250,该公司提到,“对Windows 操作系统具有低权限的本地访问权限的恶意人员能够劫持 EAP 权限会话,前提是会话由同一系统上的权限域名账户触发。”
VMware 公司提到,目前尚未有证据表明这些漏洞已遭在野利用。
要修复CVE-2024-22245和CVE-2024-22250这两个漏洞,管理员必须同时删除浏览器内插件/客户端(VMware Enhanced Authentication Plug-in 6.7.0)和 Windows 服务 (VMware Plug-in Service)。
如因无法删除而需要卸载或禁用,则必须运行以下 PowerShell 命令:
Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"
好在已弃用的 VMware EAP 并非默认安装且它并非 VMware的 vCenter Server、ESXi 或 Cloud Foundation 产品的一部分。管理员必须手动将其安装在用于管理任务的 Windows 工作站,在通过 web 浏览器使用 VMware vSphere Client 时启用直接登录。
作为这个易受攻击的认证插件的替代项,VMware 建议管理员使用其它 VMware vSphere 8 认证方法如 Active Directory over LDAPS、Microsoft Active Directory Federation Services (ADFS)、Okata 以及 Microsoft Entra ID(即此前的 Azure AD)。
上个月,VMware 公司还证实称,去年10月修复的一个严重的 vCenter Server 远程代码执行漏洞 (CVE-2024-34048) 正遭活跃利用。
VMware 披露严重的VCD Appliance认证绕过漏洞,无补丁
VMware 发现34个Windows 驱动易受设备完全接管攻击
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~