VMware 警告:Enhanced Authentication Plugin の脆弱性 CVE-2024-22245/CVE-2024-22250 に注意

VMware urges admins to remove deprecated, vulnerable auth plug-in

2024/02/20 BleepingComputer — VMware が 2月20日に発表したアドバイザリには、Windows ドメイン環境において、認証リレー攻撃やセッション・ハイジャック攻撃に晒される可能性が解説されている。そこで、管理者たちに推奨されているのは、パッチ未適用の2つのセキュリティ脆弱性が存在する、非推奨の認証プラグインの削除である。

脆弱なバージョンの VMware Enhanced Authentication Plug-in (EAP) により、Windows クライアント・システム上で統合された、Windows 認証と Windows ベース・スマートカード機能を介した、vSphere の管理インターフェイスへのシームレスな不正ログインが可能になる恐れがある。

約3年前となる 2021年3月に、vCenter Server 7.0 Update 2 をリリースした VMware は、その時に EAP の非推奨化を発表している。


脆弱性 CVE-2024-22245 (CVSS:9.6)/CVE-2024-22250 (CVSS:7.8) の悪用に成功した攻撃者は、 Kerberos サービス・チケットを中継することで、特権 EAP セッションの乗っ取りが可能になる。

VMware は CVE-2024-22245 の既知の攻撃ベクターについて、「脅威アクターは、Web ブラウザに EAP をインストールした標的ドメインのユーザーを騙して、任意の Active Directory Service Principal Names (SPN) のサービス・チケットを要求し、中継させることができる」と説明している。

また、CVE-2024-22250 については、「Windows OS への非特権ローカル・アクセスを持つ脅威アクターは、同じシステム上の特権ドメイン・ユーザーにより開始された、特権 EAP セッションを乗っ取ることができる」と述べている。

同社は、このセキュリティ脆弱性に対する標的化や悪用の兆候は、今のところ確認されていないとしている。

脆弱なシステムを保護するために

脆弱性 CVE-2024-22245/CVE-2024-22250 に対処するためには、ブラウザ内のプラグイン/クライアント (VMware Enhanced Authentication Plug-in 6.7.0) と、Windows サービス (VMware Plug-in Service) の、両方を削除する必要がある。

Vmware によると、これらのアンインストールや削除が不可能な場合には、以下の PowerShell コマンドを実行することで、Windows サービスを無効化できるとのことだ:

Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()

Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"

幸いなことに、非推奨の VMware EAP はデフォルトではインストールされず、また、VMware の vCenter Server/ESXi/Cloud Foundation 製品にも含まれていない。

ユーザーにとって必要なのは、管理作業に使用する Windows ワークステーションに手動でインストールし、 Web ブラウザ経由で VMware vSphere Client を使用する際に、ダイレクトにログインできるようにすることだ。

この脆弱な認証プラグインの代替として、VMware がユーザーに対して推奨しているのは、Active Directory over LDAPS/Microsoft Active Directory Federation Services (ADFS)/Okta/Microsoft Entra ID (旧Azure AD) などの、VMware vSphere 8 認証方法を使用することだ。

2024年1月にも VMware は 、上記とは別の vCenter Server のリモート・コード実行の脆弱性 CVE-2023-34048 が悪用されていることを発表している。この脆弱性は、2023年10月にパッチが適用されたものだが、中国のサイバー諜報グループである UNC3886 が、遅くとも 2021年後半から2年以上にわたって、この脆弱性をゼロデイとして悪用していたことが、Mandiant から報告されている。

VMware の Enhanced Authentication Plug-in (EAP) に、2件の脆弱性が発生しました。Plugin というと、WordPress などを思い浮かべてしまいますが、この種のエンタープライズ・ソフトウェアにもあるのですね。ご利用のチームは、ご注意ください。よろしければ、VMware で検索も、ご利用ください。