Plataforma
vmware
Componente
vmware-enhanced-authentication-plug-in-eap
El CVE-2024-22245 describe vulnerabilidades de retransmisión de autenticación y secuestro de sesión en el plugin de autenticación mejorada de VMware (EAP), ahora obsoleto. Estas vulnerabilidades podrían permitir a un atacante engañar a un usuario de dominio con EAP instalado en su navegador para solicitar y retransmitir tickets de servicio para nombres de principio de servicio de Active Directory (SPN) arbitrarios. Afecta a todas las versiones de EAP y requiere la desactivación inmediata del plugin.
La explotación exitosa de estas vulnerabilidades permitiría a un atacante comprometer las credenciales de un usuario y potencialmente obtener acceso a recursos protegidos por Active Directory. El atacante podría, por ejemplo, suplantar la identidad del usuario para acceder a servidores, bases de datos u otros sistemas. La retransmisión de autenticación es un patrón de ataque conocido, similar a las vulnerabilidades que han afectado a otros sistemas de autenticación federada. El impacto potencial es significativo, ya que un atacante podría obtener acceso a una amplia gama de recursos dentro de la infraestructura de Active Directory.
Este CVE ha sido publicado públicamente el 20 de febrero de 2024. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de las vulnerabilidades (retransmisión de autenticación) las hace susceptibles a la explotación. Se recomienda monitorear de cerca los sistemas afectados en busca de actividad sospechosa.
Organizations heavily reliant on Active Directory for authentication and authorization are at significant risk. Environments where users routinely browse untrusted websites or open suspicious links are particularly vulnerable. Shared hosting environments where multiple users share the same infrastructure could also be affected, as the vulnerability resides within the user’s web browser.
• windows / supply-chain:
Get-Process -Name 'EAP'• linux / server: Check for any VMware-related processes or services that might be related to EAP. • wordpress / composer / npm: N/A - This vulnerability is not related to web application components. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability is not related to database components. • generic web: Check for any VMware-related plugins or extensions in web browsers.
disclosure
Estado del Exploit
EPSS
0.94% (76% percentil)
Vector CVSS
La mitigación principal para este CVE es la desactivación inmediata del plugin VMware Enhanced Authentication Plug-in (EAP). Dado que EAP está obsoleto, VMware recomienda eliminarlo por completo. Si la desactivación inmediata no es posible, se recomienda revisar cuidadosamente la configuración de Active Directory para limitar el impacto potencial de la vulnerabilidad. No existen parches disponibles para EAP, por lo que la desactivación es la única solución viable. Después de desactivar EAP, confirme que la autenticación se realiza correctamente a través de otros métodos de autenticación configurados.
Desinstale el plugin VMware Enhanced Authentication Plug-in (EAP) ya que está obsoleto. Consulte el advisory de VMware (VMSA-2024-0003) para obtener más información y posibles alternativas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-22245 describe vulnerabilidades de retransmisión de autenticación y secuestro de sesión en el plugin de autenticación mejorada de VMware (EAP), permitiendo a un atacante suplantar la identidad de un usuario.
Si utiliza alguna versión del plugin de autenticación mejorada de VMware (EAP), está afectado. Se recomienda desactivar EAP inmediatamente.
La solución es desactivar inmediatamente el plugin VMware Enhanced Authentication Plug-in (EAP) y eliminarlo por completo, ya que no hay parches disponibles.
Aunque no se han reportado explotaciones activas, la naturaleza de las vulnerabilidades las hace susceptibles a la explotación, por lo que se recomienda monitorear de cerca.
Consulte el aviso oficial de VMware en su sitio web: [https://www.vmware.com/security/advisories/VW-VMSA-2024-0006.html](https://www.vmware.com/security/advisories/VW-VMSA-2024-0006.html)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.