انتشار وصله آسیب پذیری vCenter پس از گذشت ۸ ماه

VMware

سرانجام پس از گذشت هشت ماه از افشای نقص با شدت بالا و از نوع افزایش دسترسی در مکانیسم IWA (تأیید هویت یکپارچه ویندوز) در سرور vCenter، شرکت VMware وصله‌ای برای یکی از نسخه‌های آسیب‌دیده منتشر کرد.

این آسیب‌پذیری که با عنوان CVE-2021-22048 ردیابی می‌شود، بر به‌کارگیری بستر ابری ترکیبی Cloud Foundation VMware نیز تأثیر می‌گذارد.

در صورت بهره‌برداری موفقیت‌آمیز، مهاجمان با دسترسی غیرادمین به vCenter server deployments وصله‌نشده قادر خواهند بود تا دسترسی خود را به گروهی با امتیاز بالاتر ارتقا دهند.

به گفته VMware، این باگ تنها می‌تواند از همان شبکه فیزیکی یا منطقی که سرور مورد نظر در آن قرار دارد، به عنوان بخشی از حملات با پیچیدگی بالا و با دسترسی پایین و بدون نیاز به تعامل کاربر، مورد سوء استفاده قرار گیرد (با این حال، در گزارش CVE-2021-22048 NIST NVD گفته شده که در حملات با پیچیدگی کم از راه دور نیز قابل استفاده است).

با وجود این، VMware شدت این باگ را «مهم» ارزیابی کرده است، به این معنی که بهره‌برداری منجر به به خطر افتادن کامل محرمانگی و/یا یکپارچگی داده‌های کاربر و/یا منابع پردازش، ملزم به اقدامی از سوی کاربر و یا توسط مهاجمان احراز هویت شده می‌شود.

نسخه‌های آسیب‌پذیر

در حالی که CVE-2021-22048 نسخه‌های متعدد سرور vCenter (6.5، 6.7 و 7.0) را تحت‌تأثیر قرار می‌دهد، VMware نسخه vCenter Server 7.0 Update 3f را در ۱۲ جولای منتشر کرد که فقط آسیب‌پذیری سرورهایی را که آخرین نسخه موجود را اجرا می‌کنند، برطرف می‌کند.

راهکارها

اگرچه هنوز وصله‌‌ای برای سایر نسخه‌های آسیب‌دیده منتشر نشده، اما VMware بلافاصله پس از افشای وجود آسیب‌پذیری در نوامبر ۲۰۲۱، راهکاری برای مسدودسازی امکان حمله ارائه داد.

برای جلوگیری از حملات، VMware در مقاله‌ای جداگانه به ادمین‌های شبکه توصیه می‌کند که از طریق احراز هویت LDAP یا Identity Provider Federation برای AD FS (فقط vSphere 7.0) از احراز هویت یکپارچه ویندوز (IWA) به Active Directory تغییر وضعیت دهند.

به گفته این شرکت، Active Directory از طریق احراز هویت LDAP تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرد. با این حال، VMware اکیداً توصیه می‌کند که مشتریان از روش احراز هویت دیگری استفاده کنند. چرا که domain trusts در Active Directory در LDAP تعریف نشده و بنابراین مشتریانی که از این روش استفاده می‌کنند، باید یک منبع هویت منحصر به فرد را برای هر یک از دامنه‌های مورد اعتماد خود پیکربندی کنند. این درحالی است که سرویس AD FS این محدودیت را ندارد.

VMware دستورالعمل‌های اجرایی برای تغییر به Active Directory از طریق LDAP و تغییر به Identity Provider Federation برای AD FS را ارائه داده است ( لینک دستورالعمل‌ ۱ و ۲ و ۳).