VMware fordert Nutzer dringend dazu auf, das veraltete Enhanced Authentication Plugin (EAP) zu deinstallieren, nachdem eine kritische Sicherheitslücke entdeckt wurde. Die Schwachstelle, erfasst unter CVE-2024-22245 mit einem CVSS-Score von 9,6, ermöglicht es einem Angreifer, einen Ziel-Domain-Benutzer, der EAP in seinem Webbrowser installiert hat, dazu zu verleiten, Diensttickets für beliebige Active Directory-Dienstprinzipalnamen (SPNs) anzufordern und weiterzuleiten.

EAP, das seit März 2021 nicht mehr unterstützt wird, ist ein Softwarepaket, das es ermöglicht, sich direkt über einen Webbrowser in die Verwaltungsschnittstellen und Tools von vSphere einzuloggen. Es ist standardmäßig nicht enthalten und gehört nicht zum Lieferumfang von vCenter Server, ESXi oder Cloud Foundation.

In demselben Tool wurde auch eine Schwachstelle entdeckt, die eine Sitzungsübernahme ermöglicht (CVE-2024-22250, CVSS-Score: 7,8), durch die ein Angreifer mit unprivilegiertem lokalen Zugriff auf ein Windows-Betriebssystem eine privilegierte EAP-Sitzung übernehmen könnte.

Die Sicherheitslücken, entdeckt und gemeldet von Ceri Coburn von Pen Test Partners, betreffen nur Benutzer, die EAP auf Microsoft Windows-Systemen hinzugefügt haben, um sich mit dem vSphere Client bei VMware vSphere anzumelden.

VMware teilte mit, dass die Schwachstellen nicht behoben werden, sondern empfiehlt stattdessen, das Plugin vollständig zu entfernen, um mögliche Bedrohungen zu mindern. „Das Enhanced Authentication Plugin kann über die Methode des Betriebssystems zum Deinstallieren von Software von Client-Systemen entfernt werden“, fügte das Unternehmen hinzu.

Diese Bekanntmachung erfolgt parallel zur Veröffentlichung von SonarSource über mehrere Schwachstellen bezüglich Cross-Site Scripting (XSS) (CVE-2024-21726), die das Joomla! Content-Management-System betreffen und in den Versionen 5.0.3 und 4.4.3 behoben wurden. Joomla! beschreibt die Schwachstelle als mäßig schwerwiegend und weist darauf hin, dass Angreifer die Schwachstelle ausnutzen könnten, um eine Remote-Code-Ausführung zu erlangen, indem sie einen Administrator dazu verleiten, auf einen bösartigen Link zu klicken.

In einer verwandten Entwicklung wurden mehrere Schwachstellen und Fehlkonfigurationen von hoher und kritischer Schwere in der von Salesforce entwickelten Apex-Programmiersprache identifiziert, die zum Erstellen von Geschäftsanwendungen verwendet wird. Im Kern des Problems steht die Möglichkeit, Apex-Code im Modus „without sharing“ auszuführen, was die Berechtigungen eines Benutzers ignoriert und es böswilligen Akteuren ermöglicht, Daten zu lesen oder zu exfiltrieren sowie die Ausführung durch speziell gestaltete Eingaben zu verändern.