VMware Uyarıyor: Eski Kimlik Doğrulama Eklentisini Kaldırın!
VMware, Windows etki alanı ortamlarında kimlik doğrulama saldırılarına maruz kalan ve yamalanmamış iki güvenlik açığına karşı kimlik doğrulama eklentisini kaldırmaları konusunda kullanıcıları uyardı.
Güvenlik açığı bulunan VMware Enhanced Authentication Plug-in (EAP), Windows istemci sistemlerinde entegre Windows Kimlik Doğrulama ve Windows tabanlı akıllı kart aracılığıyla vSphere’in yönetim arayüzlerine giriş imkanı sağlıyor.
VMware, EAP’nin kaldırılmasılmasını yaklaşık üç yıl önce, Mart 2021’de vCenter Server 7.0 Güncelleme 2’nin piyasaya sürülmesiyle duyurmuştu.
İki güvenlik açığı olan CVE-2024-22245 (CVSSv3 taban puanı 9.6/10) ve CVE-2024-22250 (7.8/10), saldırganlar tarafından EAP oturumlarını ele geçirmek için kullanılabiliyor.
Kullanıcılar hem tarayıcı eklentisini (VMware Enhanced Authentication Plug-in 6.7.0) hem de Windows servisini (VMware Plug-in Service) kaldırması gerekiyor.
Kaldırmak mümkün olmadığında, bunları devre dışı bırakmak veya Windows hizmetini devre dışı bırakmak için aşağıdaki PowerShell komutlarını çalıştırabilirsiniz.
Uninstall
—————————
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()
Stop/Disable service
————————————————————
Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"
İyi haber ise kullanımdan kaldırılan VMware EAP varsayılan olarak yüklenmez ve VMware’in vCenter Server, ESXi veya Cloud Foundation ürünlerinin bir parçası da değil.
Kimlik doğrulama eklentisine alternatif olarak LDAPS üzerinden Active Directory, Microsoft Active Directory Federasyon Hizmetleri (ADFS), veya Microsoft Entra ID gibi diğer VMware vSphere 8 kimlik doğrulama yöntemlerini kullanılabilir.