Com vários meses de atraso, a VMware corrigiu falha do vCenter Server divulgada em novembro. Confia os detalhes dessa correção.
Sim. Oito meses depois de divulgar uma falha de escalonamento de privilégios de alta gravidade no mecanismo IWA (Integrated Windows Authentication) do vCenter Server, a VMware finalmente lançou um patch para uma das versões afetadas.
VMware corrigiu falha do vCenter Server divulgada em novembro
Essa vulnerabilidade (rastreada como CVE-2021-22048 e relatada por Yaron Zinar e Sagi Sheinfeld, da CrowdStrike) também afeta as implantações da plataforma de nuvem híbrida Cloud Foundation da VMware.
A exploração bem-sucedida permite que invasores com acesso não administrativo a implantações do vCenter Server sem patches elevem privilégios a um grupo com privilégios mais altos.
De acordo com a VMware, o bug só pode ser explorado a partir da mesma rede física ou lógica na qual o servidor de destino está localizado como parte de ataques de alta complexidade que exigem privilégios baixos e nenhuma interação do usuário (no entanto, a entrada CVE-2021-22048 do NIST NVD diz que é explorável remotamente em ataques de baixa complexidade).
Apesar disso, a VMware avaliou a gravidade desse bug na faixa de gravidade Importante, o que significa que “a exploração resulta no comprometimento completo da confidencialidade e/ou integridade dos dados do usuário e/ou recursos de processamento por meio de assistência ao usuário ou por invasores autenticados .”
Embora o CVE-2021-22048 afete várias versões do vCenter Server (ou seja, 6.5, 6.7 e 7.0), a empresa lançou hoje o vCenter Server 7.0 Update 3f, uma atualização de segurança que aborda apenas a vulnerabilidade para servidores que executam a versão mais recente disponível.
Felizmente, embora os patches estejam pendentes para as outras versões afetadas, a VMware forneceu uma solução alternativa para remover o vetor de ataque desde que o aviso de segurança foi publicado pela primeira vez há oito meses, em 10 de novembro de 2021.
Para bloquear tentativas de ataque, a VMware aconselha os administradores em um artigo separado da base de conhecimento a alternar para a autenticação do Active Directory sobre LDAPs OU Federação de Provedores de Identidade para AD FS (somente vSphere 7.0) da Autenticação Integrada do Windows (IWA) afetada.
“A autenticação do Active Directory sobre LDAP não é afetada por esta vulnerabilidade. No entanto, a VMware recomenda fortemente que os clientes planejem mudar para outro método de autenticação”, disse a empresa.
“O Active Directory sobre LDAPs não entende confianças de domínio, portanto, os clientes que mudarem para esse método terão que configurar uma fonte de identidade exclusiva para cada um de seus domínios confiáveis. A Federação de Provedores de Identidade para AD FS não tem essa restrição.”
A VMware fornece instruções detalhadas sobre como alternar para o Active Directory sobre LDAPs (aqui e aqui) e como alternar para a Federação de Provedores de Identidade para AD FS.