Η VMware ενημέρωσε τους πελάτες σήμερα ότι ο vCenter Server 8.0 (η πιο πρόσφατη έκδοση) εξακολουθεί να περιμένει ένα patch για την αντιμετώπιση μιας ευπάθειας κλιμάκωσης προνομίων υψηλής σοβαρότητας που αποκαλύφθηκε τον Νοέμβριο του 2021.
Δείτε επίσης: Νέο malware στοχεύει την VMware για κατασκοπεία σε επίπεδο hypervisor
Αυτό το ελάττωμα ασφαλείας (CVE-2021-22048) εντοπίστηκε από τους Yaron Zinar και Sagi Sheinfeld του CrowdStrike στον μηχανισμό IWA (Integrated Windows Authentication) του vCenter Server και επηρεάζει και τα deployments υβριδικής πλατφόρμας cloud του VMware Cloud Foundation.
Οι εισβολείς με μη διαχειριστική πρόσβαση μπορούν να το εκμεταλλευτούν για να ανυψώσουν τα δικαιώματα σε μια υψηλότερη προνομιακή ομάδα σε unpatched servers.
Δείτε επίσης: VMware & Microsoft προειδοποιούν για μια διαδεδομένη καμπάνια Chromeloader malware
Η VMware λέει ότι αυτό το ελάττωμα μπορούν να το εκμεταλλευτούν μόνο εισβολείς που χρησιμοποιούν ένα vector network δίπλα στον στοχευμένο server ως μέρος επιθέσεων υψηλής πολυπλοκότητας που απαιτούν χαμηλά προνόμια και καμία αλληλεπίδραση με τον χρήστη (ωστόσο, η καταχώριση CVE-2021-22048 του NIST NVD λέει ότι είναι εκμεταλλεύσιμο από απόσταση σε επιθέσεις χαμηλής πολυπλοκότητας).
Παρόλα αυτά, η VMware έχει αξιολογήσει τη σοβαρότητα του σφάλματος ως Important, πράγμα που σημαίνει ότι “το exploitation έχει ως αποτέλεσμα την πλήρη παραβίαση της εμπιστευτικότητας και/ή της ακεραιότητας των δεδομένων χρήστη ή/και των πόρων επεξεργασίας μέσω της βοήθειας χρήστη ή από πιστοποιημένους εισβολείς.”
Παρόλο που η εταιρεία τον Ιούλιο του 2022 κυκλοφόρησε ενημερώσεις ασφαλείας που αντιμετώπιζαν μόνο το ελάττωμα για servers που εκτελούσαν την πιο πρόσφατη διαθέσιμη έκδοση εκείνη την εποχή (vCenter Server 7.0 Update 3f), απέσυρε τις ενημερώσεις κώδικα 11 ημέρες αργότερα, επειδή δεν αποκαθιστούσαν την ευπάθεια και προκάλεσαν την διακοπή του Secure Token Service (vmware-stsd) κατά την ενημέρωση κώδικα.
Λύση μέχρι να κυκλοφορήσει μια ενημέρωση κώδικα
Παρόλο που εκκρεμούν ενημερώσεις κώδικα για όλα τα επηρεαζόμενα προϊόντα, η VMware παρέχει μια λύση που επιτρέπει στους διαχειριστές να αφαιρέσουν το διάνυσμα επίθεσης.
Για τον αποκλεισμό των απόπειρων επίθεσης, η VMware συμβουλεύει τους διαχειριστές να κάνουν switch στο Active Directory μέσω authentication LDAPs ή στο Identity Provider Federation για AD FS (μόνο vSphere 7.0) από τον επηρεασμένο Integrated Windows Authentication (IWA).
Δείτε επίσης: VMware: Retbleed fix προκαλεί πτώση απόδοσης Linux ESXi VM
“Το Active Directory μέσω LDAP authentication δεν επηρεάζεται από αυτήν την ευπάθεια. Ωστόσο, η VMware συνιστά ανεπιφύλακτα στους πελάτες να προχωρήσουν σε άλλη μέθοδο authentication”, εξηγεί η εταιρεία.
“Το Active Directory μέσω LDAPs δεν κατανοεί domain trusts, επομένως οι πελάτες που αλλάζουν σε αυτήν τη μέθοδο θα πρέπει να διαμορφώσουν μια μοναδική πηγή ταυτότητας για κάθε ένα από τα αξιόπιστα domain τους. Το Identity Provider Federation για AD FS δεν έχει αυτόν τον περιορισμό.”
Το VMware παρέχει και λεπτομερείς οδηγίες για τη μετάβαση σε Active Directory μέσω LDAPs (εδώ και εδώ) και την αλλαγή σε Identity Provider Federation για AD FS.
Πηγή πληροφοριών: bleepingcomputer.com
 εξακολουθεί να περιμένει ένα patch για την...){kind=link}