Il bug di VMware vCenter Server divulgato lo scorso anno non è stato ancora corretto
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 12 Ottobre 2022
Tags: #bug, #sicurezza, #vmware
Tags: #bug, #sicurezza, #vmware
Il bug di VMware vCenter Server divulgato lo scorso anno non è stato ancora corretto
VMware ha informato i clienti oggi che vCenter Server 8.0 (l'ultima versione) è ancora in attesa di una patch per risolvere una vulnerabilità di escalation dei privilegi di gravità elevata divulgata a novembre 2021.
Questa falla di sicurezza (CVE-2021-22048) è stata rilevata da Yaron Zinar e Sagi Sheinfeld di CrowdStrike nel meccanismo IWA (Integrated Windows Authentication) di vCenter Server e interessa anche le implementazioni della piattaforma cloud ibrida Cloud Foundation di VMware.
Gli aggressori con accesso non amministrativo possono sfruttarlo per elevare i privilegi a un gruppo con privilegi più elevati su server senza patch.
VMware afferma che questo difetto può essere sfruttato solo da aggressori che utilizzano una rete vettoriale adiacente al server preso di mira come parte di attacchi ad alta complessità che richiedono privilegi bassi e nessuna interazione dell'utente (tuttavia, la voce CVE-2021-22048 di NIST NVD afferma che è sfruttabile da remoto in -attacchi di complessità).
Nonostante ciò, VMware ha valutato la gravità del bug come Importante, il che significa che "lo sfruttamento comporta la completa compromissione della riservatezza e/o dell'integrità dei dati degli utenti e/o delle risorse di elaborazione tramite l'assistenza degli utenti o da parte di aggressori autenticati".
Sebbene la società abbia rilasciato aggiornamenti di sicurezza nel luglio 2022 che risolvevano il difetto solo per i server che eseguivano l'ultima versione disponibile in quel momento (vCenter Server 7.0 Update 3f), ha ritirato le patch 11 giorni dopo perché non hanno risolto la vulnerabilità e causato Secure Il servizio token (vmware-stsd) si arresta in modo anomalo durante l'applicazione delle patch.
"VMware ha stabilito che gli aggiornamenti di vCenter 7.0u3f precedentemente menzionati nella matrice di risposta non risolvono CVE-2021-22048 e introducono un problema funzionale", afferma VMware nell'avviso.
CVE-2021-22048 sequenza temporale delle patch
CVE-2021-22048 sequenza temporale delle patch
*Soluzione alternativa fino al rilascio di una patch*
Anche se le patch sono in sospeso per tutti i prodotti interessati, VMware fornisce una soluzione alternativa che consente agli amministratori di rimuovere il vettore di attacco.
Per bloccare i tentativi di attacco, VMware consiglia agli amministratori di passare ad Active Directory tramite l'autenticazione LDAP OPPURE Identity Provider Federation per ADFS (solo vSphere 7.0) dall'autenticazione integrata di Windows (IWA) interessata.
"L'autenticazione Active Directory tramite LDAP non è interessata da questa vulnerabilità. Tuttavia, VMware consiglia vivamente ai clienti di pianificare il passaggio a un altro metodo di autenticazione", spiega l'azienda.
"Active Directory su LDAP non comprende i trust di dominio, quindi i clienti che passano a questo metodo dovranno configurare un'origine identità univoca per ciascuno dei loro domini attendibili. Identity Provider Federation per AD FS non prevede questa restrizione".
VMware fornisce inoltre istruzioni dettagliate sul passaggio ad Active Directory tramite LDAP (qui e qui) e sul passaggio a Identity Provider Federation per AD FS.