VMWare invite les utilisateurs à désinstaller immédiatement EAP
VMware a publié un avis sans correctif invitant les utilisateurs à prendre des mesures rapides en supprimant le plug-in d'authentification améliorée (EAP), qui est obsolète. EAP a été supprimé il y a près de trois ans, en mars 2021, avec le déploiement de vCenter Server 7.0 Update 2. Cependant, la découverte d'une faille de relais d'authentification arbitraire dans EAP, identifiée comme CVE-2024-22245 avec un score CVSS significatif de 9,6, a provoqué une onde de choc dans la communauté de la virtualisation.
L'Enhanced Authentication Plugin (EAP), autrefois un composant robuste facilitant la connexion transparente aux interfaces de gestion vSphere, constitue désormais une passerelle potentielle pour les acteurs de la menace. L'avertissement de VMware souligne la gravité de la situation : un acteur malveillant pourrait exploiter cette vulnérabilité pour manipuler les utilisateurs de domaine dont l'EAP est installé dans leurs navigateurs web afin qu'ils relaient à leur insu des tickets de service pour des SPN (Service Principal Names) arbitraires d'Active Directory.
Les implications de CVE-2024-22245 vont au-delà du simple désagrément. Elles touchent au cœur de la sécurité des infrastructures virtuelles, soulignant l'impératif de mesures proactives. Ceri Coburn de Pen Test Partners, la personne responsable du signalement de ces vulnérabilités, a mis en lumière la gravité de la situation.
En outre, VMware a également découvert une vulnérabilité de détournement de session, CVE-2024-22250, avec un score CVSS de 7,8. Cette vulnérabilité, qui permet à un acteur malveillant disposant d'un accès local non privilégié à un système d'exploitation Windows de détourner une session EAP privilégiée, souligne une fois de plus la nature multiforme du paysage des menaces.
Mesures d'atténuation
À la lumière de ces vulnérabilités, les utilisateurs sont invités à donner la priorité aux mesures de sécurité, à savoir la désinstallation de l'Enhanced Authentication Plugin (EAP), qui est obsolète. Pour atténuer les vulnérabilités CVE-2024-22245 et CVE-2024-22250, les administrateurs doivent désinstaller à la fois le plugin/client dans le navigateur (VMware Enhanced Authentication Plug-in 6.7.0) et le service Windows (VMware Plug-in Service).
Au lieu de ce plugin d'authentification vulnérable, VMware suggère aux administrateurs d'utiliser d'autres méthodes d'authentification disponibles dans VMware vSphere 8, telles que Active Directory over LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta et Microsoft Entra ID (anciennement Azure AD).
Les sources de cet article comprennent un article de BleepingComputer.