VMWare fordert Anwender zur sofortigen Deinstallation von EAP auf
VMware hat ein No-Patch-Advisory veröffentlicht, in dem Anwender aufgefordert werden, das veraltete Enhanced Authentication Plug-in (EAP) zu entfernen. EAP wurde vor fast drei Jahren, im März 2021, mit dem Rollout von vCenter Server 7.0 Update 2 abgeschafft. Die Entdeckung eines beliebigen Authentifizierungs-Relay-Fehlers in EAP, der als CVE-2024-22245 mit einem CVSS-Score von 9.6 identifiziert wurde, hat jedoch Schockwellen durch die Virtualisierungs-Community geschickt.
Das veraltete Enhanced Authentication Plugin (EAP), einst eine zuverlässige Komponente, die eine nahtlose Anmeldung bei vSphere-Verwaltungsoberflächen ermöglichte, stellt nun ein potenzielles Einfallstor für Bedrohungsakteure dar. Die Warnung von VMware unterstreicht den Ernst der Lage: Ein böswilliger Akteur könnte diese Schwachstelle ausnutzen, um Domain-Anwender mit in ihren Webbrowsern installiertem EAP so zu manipulieren, dass sie unwissentlich Service-Tickets für beliebige Active Directory Service Principal Names (SPNs) weiterleiten.
Die Auswirkungen von CVE-2024-22245 gehen über bloße Unannehmlichkeiten hinaus. Sie treffen den Kern der Sicherheit virtueller Infrastrukturen und machen deutlich, dass proaktive Maßnahmen unbedingt erforderlich sind. Ceri Coburn von Pen Test Partners, der für die Meldung dieser Schwachstellen verantwortlich ist, hat den Ernst der Lage erhellt.
Darüber hinaus hat VMware die Schwachstelle CVE-2024-22250 (Session Hijack) mit einem CVSS-Wert von 7,8 entdeckt. Diese Schwachstelle, die es einem böswilligen Akteur mit unprivilegiertem lokalem Zugriff auf ein Windows-Betriebssystem ermöglicht, eine privilegierte EAP-Sitzung zu entführen, unterstreicht die Vielschichtigkeit der Bedrohungslandschaft.
Maßnahmen zur Schadensbegrenzung
In Anbetracht dieser Schwachstellen werden die Anwender aufgefordert, Sicherheitsmaßnahmen zu priorisieren, d. h. das veraltete Enhanced Authentication Plugin (EAP) zu deinstallieren. Um CVE-2024-22245 und CVE-2024-22250 zu entschärfen, müssen Administratoren sowohl das Plugin/Client im Browser (VMware Enhanced Authentication Plug-in 6.7.0) als auch den Windows-Dienst (VMware Plug-in Service) deinstallieren.
Anstelle dieses anfälligen Authentifizierungs-Plugins empfiehlt VMware Administratoren die Verwendung anderer in VMware vSphere 8 verfügbarer Authentifizierungsmethoden, wie Active Directory über LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta und Microsoft Entra ID (früher Azure AD).
Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.