VMWare insta a los usuarios a desinstalar EAP inmediatamente
VMware ha emitido un aviso sin parche instando a los usuarios a tomar medidas rápidas para eliminar el complemento de autenticación mejorada (EAP) obsoleto. EAP quedó obsoleto hace casi tres años, en marzo de 2021, con el lanzamiento de vCenter Server 7.0 Update 2. Sin embargo, el descubrimiento de un fallo de retransmisión de autenticación arbitraria en EAP, identificado como CVE-2024-22245 con una importante puntuación CVSS de 9,6, ha conmocionado a la comunidad de virtualización.
El obsoleto Enhanced Authentication Plugin (EAP), antaño un componente incondicional que facilitaba el inicio de sesión sin problemas en las interfaces de gestión de vSphere, se convierte ahora en una puerta de entrada potencial para los actores de amenazas. La advertencia de VMware subraya la gravedad de la situación: un actor malicioso podría explotar esta vulnerabilidad para manipular a los usuarios de dominio con EAP instalado en sus navegadores web para que, sin saberlo, transmitan tickets de servicio para nombres principales de servicio (SPN) de Active Directory arbitrarios.
Las implicaciones de CVE-2024-22245 van más allá de un simple inconveniente. Golpean el corazón de la seguridad de la infraestructura virtual, subrayando el imperativo de tomar medidas proactivas. Ceri Coburn de Pen Test Partners, la persona responsable de informar sobre estas vulnerabilidades, ha arrojado luz sobre la gravedad de la situación.
Por otra parte, VMware también ha descubierto una vulnerabilidad de secuestro de sesión, CVE-2024-22250, con una puntuación CVSS de 7,8. Esta vulnerabilidad, que permite a un actor malicioso con acceso local sin privilegios a un sistema operativo Windows secuestrar una sesión EAP privilegiada, subraya aún más la naturaleza polifacética del panorama de las amenazas.
Medidas paliativas
A la luz de estas vulnerabilidades, se insta a los usuarios a priorizar las medidas de seguridad, que es la desinstalación de la obsoleta Enhanced Authentication Plugin (EAP). Para mitigar las vulnerabilidades CVE-2024-22245 y CVE-2024-22250, los administradores deben desinstalar tanto el plugin/cliente del navegador (VMware Enhanced Authentication Plug-in 6.7.0) como el servicio de Windows (VMware Plug-in Service).
En lugar de este plugin de autenticación vulnerable, VMware sugiere a los administradores que utilicen otros métodos de autenticación disponibles en VMware vSphere 8, como Active Directory sobre LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta y Microsoft Entra ID (antes Azure AD).
Las fuentes de este artículo incluyen un artículo de BleepingComputer.