Please enter CoinGecko Free Api Key to get this plugin works.

Bl0ckch41nnewsVMware pide ELIMINAR un complemento de autenticación vulnerable y obsoleto

36


VMware urge a los administradores a eliminar un complemento de autenticación
descontinuado y expuesto a ataques de retransmisión de autenticación y
secuestro de sesión en entornos de dominio de Windows a través de dos
vulnerabilidades de seguridad que no se habían parcheado.

El componente vulnerable Enhanced Authentication Plug-in (EAP) de
VMware permite un inicio de sesión fluido en las interfaces de administración
de vSphere a través de la autenticación integrada de Windows.

VMware
anunció la obsolescencia de EAP hace casi tres años, en marzo de 2021, con el lanzamiento de vCenter Server 7.0 Update 2.

Registrados como CVE-2024-22245 (CVSS de 9,6/10) y CVE-2024-22250 (7,8/10),
los dos fallos de seguridad parcheados esta semana pueden ser utilizados por
atacantes maliciosos para transmitir tickets de servicio Kerberos y tomar el
control de sesiones EAP privilegiadas.

La compañía agregó que actualmente no tiene evidencia de que las
vulnerabilidades de seguridad hayan sido explotadas en la naturaleza.

Cómo proteger los sistemas vulnerables

Para solucionar los fallos de seguridad CVE-2024-22245 y CVE-2024-22250, los
administradores deben eliminar tanto el complemento/cliente del
navegador (VMware Enhanced Authentication Plug-in 6.7.0) como el servicio de
Windows (Servicio de complemento de VMware).

Para desinstalarlos o deshabilitar el servicio de Windows si no es posible
eliminarlos, se pueden realizar los siguientes pasos a través de comandos de
PowerShell, como se recomienda
aquí.

Como alternativa a este complemento de autenticación vulnerable, VMware
recomienda a los administradores utilizar otros métodos de autenticación de
VMware vSphere 8, como Active Directory sobre LDAPS, Microsoft Active
Directory Federation Services (ADFS), Okta y Microsoft Entra ID (anteriormente
Azure AD).

El mes pasado, VMware también
confirmó
que una vulnerabilidad crítica de ejecución remota de código de vCenter
Server (CVE-2023-34048) parcheada en octubre estaba bajo explotación
activa. 
Mandiant
reveló
que el grupo chino de ciberespionaje UNC3886 abusó de él como Zero-Day durante
más de dos años, al menos desde finales de 2021.

Fuente:
BC



Source link

Los comentarios están cerrados.