سرانجام پس از گذشت هشت ماه از افشای نقص با شدت بالا و از نوع افزایش دسترسی در مکانیسم IWA (تأیید هویت یکپارچه ویندوز) در سرور vCenter، شرکت VMware وصلهای برای یکی از نسخههای آسیبدیده منتشر کرد.
این آسیبپذیری که با عنوان CVE-2021-22048 ردیابی میشود، بر بهکارگیری بستر ابری ترکیبی Cloud Foundation VMware نیز تأثیر میگذارد.
در صورت بهرهبرداری موفقیتآمیز، مهاجمان با دسترسی غیرادمین به vCenter server deployments وصلهنشده قادر خواهند بود تا دسترسی خود را به گروهی با سطح دسترسی بالاتر ارتقا دهند.
به گفته VMware، این باگ تنها میتواند از همان شبکه فیزیکی یا منطقی که سرور مورد نظر در آن قرار دارد، به عنوان بخشی از حملات با پیچیدگی بالا و با دسترسی پایین و بدون نیاز به تعامل کاربر، مورد سوء استفاده قرار گیرد (با این حال، در گزارش CVE-2021-22048 NIST NVD گفته شده که در حملات با پیچیدگی کم از راه دور نیز قابل استفاده است).
با وجود این، VMware شدت این باگ را «مهم» ارزیابی کرده است، به این معنی که بهرهبرداری منجر به به خطر افتادن کامل محرمانگی و/یا یکپارچگی دادههای کاربر و/یا منابع پردازش، ملزم به اقدامی از سوی کاربر و یا توسط مهاجمان احراز هویت شده میشود.
نسخههای آسیبپذیر
در حالی که CVE-2021-22048 نسخههای متعدد سرور vCenter (6.5، 6.7 و 7.0) را تحتتأثیر قرار میدهد، VMware نسخه vCenter Server 7.0 Update 3f را در ۱۲ جولای منتشر کرد که فقط آسیبپذیری سرورهایی را که آخرین نسخه موجود را اجرا میکنند، برطرف میکند.
راهکارها
اگرچه هنوز وصلهای برای سایر نسخههای آسیبدیده منتشر نشده، اما VMware بلافاصله پس از افشای وجود آسیبپذیری در نوامبر ۲۰۲۱، راهکاری برای مسدودسازی امکان حمله ارائه داد.
برای جلوگیری از حملات، VMware در مقالهای جداگانه به ادمینهای شبکه توصیه میکند که از طریق احراز هویت LDAP یا Identity Provider Federation برای AD FS (فقط vSphere 7.0) از احراز هویت یکپارچه ویندوز (IWA) به Active Directory تغییر وضعیت دهند.
به گفته این شرکت، Active Directory از طریق احراز هویت LDAP تحت تأثیر این آسیبپذیری قرار نمیگیرد. با این حال، VMware اکیداً توصیه میکند که مشتریان از روش احراز هویت دیگری استفاده کنند. چرا که domain trusts در Active Directory در LDAP تعریف نشده و بنابراین مشتریانی که از این روش استفاده میکنند، باید یک منبع هویت منحصر به فرد را برای هر یک از دامنههای مورد اعتماد خود پیکربندی کنند. این درحالی است که سرویس AD FS این محدودیت را ندارد.
