VMwareは、vSphereの古いプラグインであるEnhanced Authentication Plug-in(EAP)に、セッションハイジャックを可能にする2つの脆弱性が存在することを発表した。このプラグインは約3年前に廃止されたが、広く使用されている。脆弱性の一つはCVE-2024-22245として追跡され、重大度評価は9.6である。もう一つはCVE-2024-22250として追跡され、重大度評価は7.8である。CVE-2024-22245は任意の認証リレーの脆弱性であり、CVE-2024-22250はセッションハイジャックの脆弱性である。これらの脆弱性は、Windowsクライアントシステムへのアクセスを持つ攻撃者がクラウドコンピューティングセッションを乗っ取ることを可能にする。
Pen Test PartnersのCeri Coburnによって発見され、責任を持って報告された。VMwareは、EAPを削除するための手順をウェブサイト上で提供しており、これまでに脆弱性が悪用された証拠はない。しかし、VMwareの脆弱性はクラウド環境を危険にさらすため、攻撃者によって狙われやすい。EAPはvCenter Server 7.0 Update 2の発売に伴い2021年3月にVMwareによって廃止されたが、vSphere 7製品ラインは2025年4月までサポートされる予定である。EAPはデフォルトではvSphereにはインストールされておらず、管理タスク用のWindowsワークステーションに手動でインストールする必要がある。VMwareは、EAPの使用を避けるための安全な代替方法も提示している。
【ニュース解説】
VMwareのvSphereという仮想化プラットフォーム用の古いプラグイン、Enhanced Authentication Plug-in(EAP)に、セッションハイジャックを可能にする2つの脆弱性が見つかりました。このプラグインは約3年前に廃止されましたが、依然として広く使用されています。重大な脆弱性の一つは、攻撃者がクラウドコンピューティングセッションを乗っ取ることを可能にする任意の認証リレーの脆弱性(CVE-2024-22245)で、もう一つはセッションハイジャックの脆弱性(CVE-2024-22250)です。
これらの脆弱性は、特にWindowsクライアントシステムにアクセスできる攻撃者によって悪用される可能性があります。CVE-2024-22245は、攻撃者がKerberosサービスチケットをリレーし、特権EAPセッションを乗っ取ることを可能にします。一方、CVE-2024-22250は、同じシステム上の特権ドメインユーザーによって開始された特権EAPセッションを、特権のないローカルアクセスを持つ攻撃者が乗っ取ることを可能にします。
VMwareは、EAPを修正する代わりに、このプラグインを削除するための手順を提供しています。これまでにこれらの脆弱性が悪用された証拠はありませんが、VMwareの脆弱性はクラウド環境を危険にさらすため、攻撃者によって狙われやすいとされています。EAPは2021年3月に廃止されましたが、vSphere 7製品ラインは2025年4月までサポートされる予定です。EAPはデフォルトではvSphereにはインストールされておらず、管理タスク用のWindowsワークステーションに手動でインストールする必要があります。
この問題の影響は、クラウド環境のセキュリティにとって重大です。攻撃者がセッションを乗っ取ることに成功すれば、企業の重要なデータやリソースにアクセスできる可能性があります。そのため、VMwareはEAPの削除を強く推奨しています。また、EAPの代わりに使用できる安全な認証方法も提案しており、これにはActive Directory over LDAPS、Microsoft Active Directory Federation Services (ADFS)、Okta、Microsoft Entra IDなどが含まれます。
このニュースは、クラウド環境のセキュリティを維持するためには、古いソフトウェアやプラグインを定期的に更新または削除することの重要性を改めて浮き彫りにしています。また、セキュリティの脆弱性が発見された場合、迅速な対応が必要であることも示しています。企業は、セキュリティ対策を常に最新の状態に保ち、潜在的な脅威から保護するためのプロセスを確立する必要があります。
from Critical Vulnerability in VMware vSphere Plug-in Allows Session Hijacking.
