VMware แจ้งเตือนให้ผู้ดูแลระบบลบ Auth Plug-In ที่มีช่องโหว่ ซึ่งได้เลิกใช้งานไปแล้ว

VMware แจ้งเตือนให้ผู้ดูแลระบบทำการลบ authentication plugin ที่ได้ยกเลิกการใช้งานแล้ว ซึ่งมีช่องโหว่ 2 รายการที่สามารถโจมตีแบบ authentication relay และ session hijack attacks ใน Windows domain

VMware Enhanced Authentication Plug-in (EAP) มีช่องโหว่ช่วยให้สามารถล็อกอินเข้าสู่ vSphere's management interface ผ่าน Windows Authentication และ Windows-based smart card บน Windows client system ทั้งนี้ VMware ประกาศได้ยกเลิกการเลิกใช้งาน EAP ไปแล้วในเดือนมีนาคม 2021 ด้วยการเปิดตัว vCenter Server 7.0 Update 2

ช่องโหว่ 2 รายการที่ถูกใช้ในการโจมตีได้แก่ CVE-2024-22245 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) และ CVE-2024-22250 (คะแนน CVSS 7.8/10 ความรุนแรงระดับ High) ซึ่งได้รับการอัปเดตแก้ไขช่องโหว่ที่สามารถนำไปใช้โจมตี relay Kerberos service ticket และเข้าควบคุม privileged EAP session ได้
**

CVE-2024-22245 ช่องโหว่ที่ทำให้ Hacker สามารถใช้โดเมนเป้าหมายที่ติดตั้ง EAP ไว้ในเว็บเบราว์เซอร์ เพื่อขอ และส่งต่อ service ticket สำหรับ Active Directory Service Principal Names (SPNs)
**

CVE-2024-22250 ช่องโหว่ที่ทำให้ Hacker ที่ไม่มีสิทธิ์เข้าถึง local access บนระบบปฏิบัติการ Windows สามารถขโมย privileged EAP session ได้ โดยผู้ใช้โดเมนที่มีสิทธิ์บนระบบเดียวกัน

VMware ระบุว่ายังไม่พบหลักฐานการนำช่องโหว่ดังกล่าวไปใช้ในการโจมตีอยู่ในปัจจุบัน

วิธีรักษาความปลอดภัยระบบที่มีช่องโหว่

เพื่อป้องกันการโจมตีจากช่องโหว่ CVE-2024-22245 และ CVE-2024-22250 ผู้ดูและระบบ ต้องลบทั้ง in-browser plugin/client (VMware Enhanced Authentication Plug-in 6.7.0) และ Windows service (VMware Plug-in Service)

รวมถึงหากต้องการถอนการติดตั้งหรือปิดใช้งานบริการบน Windows แต่ไม่สามารถลบออกได้ สามารถเรียกใช้คำสั่ง PowerShell ต่อไปนี้ :

Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()

Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"

ทั้งนี้ VMware EAP ได้ถูกยกเลิกการใช้งานไปแล้ว ทำให้ไม่ได้รับการติดตั้งเป็นค่าเริ่มต้น และไม่ได้เป็นส่วนหนึ่งของผลิตภัณฑ์ vCenter Server, ESXi หรือ Cloud Foundation ของ VMware

ซึ่งหากต้องการใช้งานผู้ดูแลระบบจะต้องติดตั้งด้วยตนเองบน Windows workstation ที่ใช้สำหรับงานการดูแลระบบ เพื่อเปิดใช้งานการเข้าสู่ระบบโดยตรงเมื่อใช้ VMware vSphere Client ผ่าน web browser

อีกทั้ง VMware ได้แนะนำทางเลือกอื่น ๆ ในการใช้งานแทน EAP auth plug-in ที่มีช่องโหว่ โดยแนะนำให้ผู้ดูแลระบบใช้วิธีการตรวจสอบสิทธิ์ VMware vSphere 8 ด้วยวิธีอื่น ๆ เช่น Active Directory บน LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta และ Microsoft Entra ID (เดิมคือ Azure AD)

ในเดือนมกราคม 2024 VMware ได้เปิดเผยว่าช่องโหว่การเรียกใช้คำสั่งที่จากระยะไกล (RCE) ใน vCenter Server (CVE-2023-34048) ที่ได้ถูกเปิดเผยในเดือนตุลาคม 2023 กำลังถูกใช้ในการโจมตี ซึ่งทาง Mandiant รายงานว่ากลุ่ม UNC3886 ของจีน ได้ใช้งานช่องโหว่ zero-day ดังกล่าวในการโจมตีมาตั้งแต่ปี 2021

ที่มา : bleepingcomputer