VMware roept admins op om een authenticatie plug-in zo snel mogelijk te verwijderen. De plug-in wordt al drie jaar niet meer ondersteund.
Virtualisatiespecialist VMware rapporteert twee kwetsbaarheden in vCenter Server, CVE-2024-22245 en CVE-2024-22250. De twee kwetsbaarheden zijn te wijten aan dezelfde plug-in, namelijk de Enhanced Authentication Plug-in (EAP) om mee aan te melden in de beheerconsole. VMware stopte zelf al drie jaar geleden met het ondersteunen van de plug-in, maar dat is geen garantie dat deze niet meer in gebruik is.
Omdat de plug-in manueel diende geïnstalleerd te worden, dient deze ook manueel weer verwijderd te worden. VMware denkt dat de kwetsbaarheden een relatief beperkt bereik zullen hebben, net omdat de plug-in niet standaard ingebouwd zit in vCenter Server. Dat betekent niet dat er geen reden is tot voorzichtigheid: een aanvaller kan proberen een werknemer die de plug-in aan zijn of haar webbrowser heeft toegevoegd, proberen verleiden tot het doorspelen van servicetickets en zo dienst gebruikerssessie kapen.
Plug-in verwijderen
Volgens VMware is op dit moment geen bewijs dat de kwetsbaarheden actief misbruikt worden, maar het wil niet wachten totdat wel gebeurt. Het bedrijf raadt aan vCenter Server bij te werken naar de nieuwste versie om patches te installeren en adviseert ook om de plug-in te verwijderen. Hiervoor dien je zowel de plug-in (VMware Enhanced Authentication Plug-in 6.7.0) als de ondersteunende Windows-service te deactiveren (VMware Plug-in Service).
Dat kan door onderstaande PowerShell-scripts te draaien, of via het controlepaneel van het endpoint waarop de plug-in geïnstallerd staat.
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith(“VMware Enhanced Authentication Plug-in”)}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith(“VMware Plug-in Service”)}).Uninstall()
Een kwetsbaarheid die VMware vorige maand rapporteerde, gaat wellicht meer gebruikers aan. Een bug in Aria Automation, dat gebruikt om infrastructuur te draaien in VMware Cloud Foundation, geeft aanvallers bij succesvolle exploitatie ongeautoriseerde toegang vanop afstand tot workflows. Lees hier meer informatie over hoe je die bug kan oplossen.