生成的データ インテリジェンス

サイバーセキュリティ

VMware vSphere プラグインの重大な脆弱性によりセッション ハイジャックが可能になる

プラトンによって再発行
プラトンによって再発行

日付:

閲覧数: 0

VMwareは、同社のVSphere用の古いプラグインを削除するようネットワーク管理者に呼び掛けている。このプラグインには2つの欠陥があり、そのうち1つは重大なものであり、攻撃者がWindowsクライアント システムにアクセスしてクラウド コンピューティング セッションをハイジャックできる可能性がある。

VMware は今週、 セキュリティ勧告 欠陥への対処 — として追跡される欠陥 CVE-2024-22245、重大度評価は 9.6 で、XNUMX つは次のように追跡されています。 CVE-2024-22250、重大度評価は 7.8 で、これは VMware Enhanced Authentication Plug-in (EAP) にあります。 EAP により、Windows クライアント システム上の統合 Windows 認証および Windows ベースのスマート カード機能を介して vSphere の管理インターフェイスに簡単にサインインできるようになります。 ブログ投稿 脆弱性検出セキュリティ会社 Vulnera による。

CVE-2024-22245 は任意の認証リレーです 脆弱性一方、VMware によると、CVE-2024-22250 はセッション ハイジャックの欠陥です。脅威アクターは CVE-2024-22245 を悪用して「Kerberos サービス チケットを中継し、特権 EAP セッションの制御を掌握する」ことができますが、CVE-2024-22250 は Windows OS への非特権ローカル アクセスを持つ悪意のある攻撃者によって「特権をハイジャックする」ために使用される可能性があります。同じシステム上の特権ドメイン ユーザーによって EAP セッションが開始された場合」と Vulnera 氏は述べています。

同社は、脆弱性を発見し、責任を持って公開したことについて、Pen Test Partners の Ceri Coburn 氏を称賛しました。 ブログ投稿 ペン テストによって本日公開されたテストは、17 月 XNUMX 日に実施されました。VMware は、脆弱性に関する勧告と軽減策のリリースに数か月かかった理由について説明していません。

欠陥の仕組み

EAP は、データセンター環境から CPU、ストレージ、ネットワーク リソースで構成される集約クラウド コンピューティング インフラストラクチャを作成する VMware の仮想化プラットフォームである vSphere の Web コンソールにシームレスなログイン エクスペリエンスを作成します。

Pen Test のブログ投稿によると、欠陥をさらに詳しく調べると、重大な CVE-2024-22245 は Kerberos リレーの脆弱性であり、悪意のある Web サイトが通常の vCenter ログイン ページで使用されるのと同じ認証フローをトリガーできるようになります。このシナリオでは、EAP は Web サイトがプラグインと通信しようとしていることをエンド ユーザーに通知します。ユーザーはこれを受け入れる必要があります。ただし、疑いを持たずにリクエストを受け入れたユーザーは攻撃に対して脆弱になります。

Pen Test の投稿によれば、「悪意のある Web サイトは、被害者の Active Directory ネットワーク内のあらゆるサービスに対して、被害者ユーザーとして Kerberos チケットを要求する可能性があります。」

一方、CVE-2024-22250 は、ProgramData フォルダー内に保存されている VMware EAP ログ ファイルに設定された弱い権限に関連しています。 Pen Test によると、ログ ファイルはローカル ユーザーが読み取れるように構成されているため、攻撃者はログ ファイルから読み取って新しいセッション ID をリッスンする自動スクリプトをセットアップすることができます。

新しいセッション ID が記録されると、攻撃者は他のセッション内のユーザーに代わって任意のサービス チケットを要求し、他のセッションからハイジャックされたユーザーとして Active Directory ネットワーク内に設定された Kerberos 関連のサービスにアクセスすることができます。

「最初の CVE とは異なり、この CVE では不審な Web サイトとの対話は必要ありません」とペネトレーション テストは述べています。 「攻撃者は、正規の vCenter ログイン ページで認証が行われるのを待つだけで、ユーザー セッションをハイジャックします。」

脆弱なプラグインを今すぐ削除

VMware は、EAP にパッチを適用することで対応しませんでした。EAP は、2021 年 XNUMX 月に VMware によって廃止されました。 vCenter Server 7.0 Update 2 — ただし、管理者に段階的な指示を提供しています。 そのウェブサイト上の記事 それを削除する方法を説明します。

VMware によると、これまでのところ、この欠陥が脅威アクターによって悪用されたという証拠はありません。ただし、歴史的には、脅威アクターは VMwareの欠陥を攻撃する 彼らが提供する機会のおかげで クラウド環境を侵害する これにより、無数の企業リソースやデータへのアクセスが可能になります。たとえば、パッチが適用されているにもかかわらず、攻撃者は以前に公開された脆弱性を攻撃しました。 VMware ESXi ハイパーバイザーの欠陥 それは何年にもわたってさまざまな方法で悪用可能でした。したがって、できるだけ早く EAP を削除してリスクを軽減することが重要であると、VMware とセキュリティ研究者は同様に述べています。

このプラグインを使用する vSphere 7 製品ラインは 2025 年 XNUMX 月までサポートされ続けるため、ペン テストはパッチ適用を中止する動きは「残念」であると考えました。しかし、VMware の顧客にとって朗報なのは、vSphere を使用するシステムにはデフォルトで EAP がインストールされないことです。このプラグインは VMware の vCenter Server にも含まれていません。 ESXi、または Cloud Foundation 製品。 Vulnera 氏によると、Web ブラウザ経由で VMware vSphere クライアントを使用するときに直接ログインできるようにするには、管理者は管理タスクに使用する Windows ワークステーションに EAP を手動でインストールする必要があります。

VMware は、EAP を使用するクライアントに対して、プラグインを構成する両方のエンティティ (ブラウザ内プラグイン/クライアント「VMware Enhanced Authentication Plug-in 6.7.0」および Windows サービス「VMware Plug-in Service」) を削除するよう指示しています。これが不可能な場合は、管理者が Windows サービスを無効にすることもできます。

VMware は、コントロール パネルまたはインストーラーから、または PowerShell を使用してこれらの各コンポーネントを削除するための 8 つのオプションをその指示に従って提供しています。同社はまた、Active Directory over LDAPS、Microsoft Active Directory Federation Services (ADFS)、Okta、Microsoft Entra ID (旧称 Azure AD) などの VMware vSphere XNUMX 認証方法を含む、EAP の使用に代わるより安全な代替手段も紹介しました。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.