11 Марта 2024 07:21 11 Мар 2024 07:21 |

Поделиться

VMware напоминает: избавьтесь от старого плагина для аутентификации

Все сроки вышли

Компания VMware призвала системных администраторов срочно отключить старый плагин для аутентификации в клиентском ПО системы vSphere - VMware Enhanced Authentication Plug-in (EAP). Причина - в двух серьезных уязвимостях, а также в том, что VMware почти три года назад объявила плагин устаревшим и не рекомендуемым к использованию. При этом он ещё не снят с поддержки и уязвимости получили патчи, и в VMware заявили, что пока не наблюдали попыток практической эксплуатации «багов».

Плагин Enhanced Authentication Plug-in обеспечивает возможность «бесшовного логина» в интерфейсы управления vSphere через механизм встроенной проверки подлинности Windows (IWA) или смарт-карты для аутентификации.

VMware объявила EAP устаревшим и нежелательным для использования ещё в марте 2021 г. после выхода vCenter Server 7.0 Update 2.

Две исправленные сегодня уязвимости, получившие индексы CVE-2024-22245 (9,6 баллов из 10 по версии CVSSv3, критическая) и CVE-2024-22250 (7,8 из 10 баллов, высокоопасная), могут использоваться для перенаправления запросов обслуживания Kerberos и перехвата привилегированных сессий EAP.

«Злоумышленник может обманом заставить потенциальную жертву - пользователя целевого домена, у которого в браузере установлен EAP, запросить и передать билеты службы для произвольных имен участников службы Active Directory (SPN)», — говорится в публикации VMware, посвящённой CVE-2024-22245.

Что касается CVE-2024-22250, то с ней «злоумышленник с непривилегированным локальным доступом к операционной системе Windows может перехватить привилегированную сессию EAP, если та инициирована привилегированным пользователем домена в той же системе».

Патчи есть, но...

Хотя патчи и были выпущены, системным администраторам рекомендовано деинсталлировать и браузерный плагин (VMware Enhanced Authentication Plug-in 6.7.0), и соответствующую службу Windows (VMware Plug-in Service). Для этого понадобится запустить определённые команды в PowerShell.

«Хотя напрашиваются подозрения в том, что эти уязвимости уже могут эксплуатироваться, например, в узкоцелевых атаках, скорее всего, VMware просто напоминает о давно назревшей необходимости избавиться от устаревшего инструмента, чтобы не нажить крупных неприятностей», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ.

8 задач, чтобы перезапустить инженерную школу в России

импортонезависимость

Замок, который слишком легко взломать, подлежит замене, особенно когда ему есть множество альтернатив. Проблема в том, что процесс замены EAP может занимать время, а значит, процедуру будут откладывать. Быть может, до тех пор, пока гром не грянет.

Это ПО придется вручную удалять со всех рабочих станций под Windows, которые используются для административных целей - чтобы обеспечить возможность прямого логина в клиент VMware vSphere Client через веб-браузер.

В качестве альтернативы для устаревшего клиента предлагаются сразу восемь различных методов аутентификации - Active Directory через LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta и Microsoft Entra ID (бывший Azure AD).

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка