VMware rilascia la patch vCenter Server per un BUG divulgato a novembre
Otto mesi dopo aver rivelato un difetto di escalation dei privilegi di gravità elevata nel meccanismo IWA (Integrated Windows Authentication) di vCenter Server, VMware ha finalmente rilasciato una patch per una delle versioni interessate.
Questa vulnerabilità (tracciata come CVE-2021-22048 e segnalata da Yaron Zinar e Sagi Sheinfeld di CrowdStrike) interessa anche le implementazioni della piattaforma cloud ibrida Cloud Foundation di VMware.
Lo sfruttamento riuscito consente agli aggressori con accesso non amministrativo alle distribuzioni di vCenter Server senza patch di elevare i privilegi a un gruppo con privilegi più elevati.
Secondo VMware, il bug può essere sfruttato solo dalla stessa rete fisica o logica su cui si trova il server di destinazione come parte di attacchi ad alta complessità che richiedono bassi privilegi e nessuna interazione dell'utente (tuttavia, la voce CVE-2021-22048 di NIST NVD afferma che è sfruttabile da remoto in attacchi a bassa complessità).
Nonostante ciò, VMware ha valutato la gravità di questo bug nell'intervallo di gravità Importante, il che significa che "lo sfruttamento comporta la completa compromissione della riservatezza e/o dell'integrità dei dati dell'utente e/o delle risorse di elaborazione tramite l'assistenza dell'utente o da parte di aggressori autenticati ."
Sebbene CVE-2021-22048 influisca su più versioni di vCenter Server (ovvero, 6.5, 6.7 e 7.0), la società ha rilasciato oggi l'aggiornamento 3f di vCenter Server 7.0, un aggiornamento per la sicurezza che risolve solo la vulnerabilità per i server che eseguono l'ultima versione disponibile.
Soluzione alternativa disponibile
Fortunatamente, sebbene le patch siano in sospeso per le altre versioni interessate, VMware ha fornito una soluzione alternativa per rimuovere il vettore di attacco da quando l'avviso di sicurezza è stato pubblicato per la prima volta otto mesi fa, il 10 novembre 2021.
Per bloccare i tentativi di attacco, VMware consiglia agli amministratori in un articolo della knowledge base separato di passare ad Active Directory tramite l'autenticazione LDAP OPPURE Identity Provider Federation per AD FS (solo vSphere 7.0) dall'autenticazione integrata di Windows (IWA) interessata.
"L'autenticazione Active Directory tramite LDAP non è interessata da questa vulnerabilità. Tuttavia, VMware consiglia vivamente ai clienti di pianificare il passaggio a un altro metodo di autenticazione", ha affermato la società.
"Active Directory su LDAP non comprende i trust di dominio, quindi i clienti che passano a questo metodo dovranno configurare un'origine identità univoca per ciascuno dei loro domini attendibili. Identity Provider Federation per AD FS non prevede questa restrizione".