VMware - Vulnerability in Deprecated EAP Browser Plugin
VMware - VMSA-2024-0003
Vulnerabilities in Deprecated VMware Enhanced Authentication Plug-in (EAP) (CVE-2024-22245, CVE-2024-22250)
CVSSv3: 9.6 – 7.8
VMware ha publicado un nuevo boletín de seguridad sobre un fallo de seguridad que impacta a Enhanced Authentication Plugin (EAP), un asistente que facilita el inicio de sesiones directo en las interfaces y herramientas de gestión de vSphere a través de los navegadores. Este plugin paso a ser obsoleto desde Marzo de 2021y no está instalado por default en vCenter Server, ESXi o Cloud Foundation.
Recientemente se descubrió que un actor malintencionado podría explotar la vulnerabilidad CVE-2024-22245 para manipular a un usuario dentro del dominio que tenga instalado el plugin en su navegador web solicitando y reenviando tickets del Service Principal Name (SPNs) de Active Directory. A su vez, un atacante podría explotar la vulnerabilidad CVE-2024-22250 que afecta a la misma herramienta, este fallo concede al actor malintencionado acceso local sin privilegios a los sistemas Windows.
Versiones Afectadas
VMware Enhanced Authentication Plug-in (EAP) todas las versiones. Este fallo afecta a usuarios que hayan instalado la herramienta en sistemas Windows para conectarse a VMware vSphere a través del cliente vSphere
Recomendaciones
No existe algún Workaround para las vulnerabilidades detectadas. Tampoco existe actualización o parche que remedie la vulnerabilidad.
La solución que otorga el equipo de VMware es desinstalando el plugin del navegador web y el Servicio de Windows.
En caso de que la desinstalación no sea exitosa, se puede remover desde PowerShell con la librería para administración de ESXI Power CLI (https://developer.vmware.com/docs/15315/powercli-user-s-guide/) con los comandos:
Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"
Para mas información respecto a la desinstalacion del plugin EAP: https://kb.vmware.com/s/article/96442
Cabe destacar que el plugin EAP no está instalado por Default. Los administradores de las instancias deben instalar manualmente el Direct Login cuando se usa el cliente de vSphere a través del navegador web.
Como una alternativa a EAP, VMware permite a los administradores otros métodos de autenticación como LDAPS sobre AD, ADFS, Okta entre otros.
Referencias
VMware Security Advisory: https://www.vmware.com/security/advisories/VMSA-2024-0003.html
.jpg)
