Una vulnerabilità ad alta gravità scoperta quasi un anno fa in VMware vCenter Server 8.0 deve ancora essere patchata (si apre in una nuova scheda), ha confermato la società.
Il difetto, tracciato come CVE-2021-22048, è descritto come una vulnerabilità legata all'elevazione dei privilegi e consente agli utenti non amministratori di elevare i propri privilegi sui server senza patch. È stato scoperto nel novembre 2021 nel meccanismo di autenticazione integrata di Windows (IWA) di vCenter Server.
Gli attori delle minacce che sfruttano con successo il difetto possono "compromettere completamente la riservatezza e/o l'integrità dei dati degli utenti e/o delle risorse di elaborazione attraverso il supporto degli utenti o da aggressori autenticati", ha affermato, dichiarato all'epoca.
Soluzioni alternative disponibili
La soluzione è ancora in sospeso, ma non per mancanza di tentativi. VMware ha rilasciato un aggiornamento di sicurezza nel luglio di quest'anno, che ha tentato di correggere il difetto sui server che eseguono l'ultima versione (ad esempio vCenter Server 7.0 Update 3f, secondo BleepingComputer).
Tuttavia, la società è stata costretta a ritirare la patch meno di quindici giorni dopo poiché non ha risolto il problema e ha anche causato il fallimento del servizio token di sicurezza (vmware-stsd) durante la patch.
"VMware ha stabilito che gli aggiornamenti di vCenter 7.0u3f sopra menzionati nella matrice di risposta non risolvono CVE-2021-22048 e introducono un problema funzionale", ha affermato VMware nel suo avviso di sicurezza all'epoca.
Fino a quando la correzione non sarà disponibile, gli amministratori IT che eseguono i sistemi interessati sono incoraggiati a implementare una correzione, passando da IWA ad Active Directory tramite l'autenticazione LDAP OPPURE Identity Provider Federation per AD FS (vSphere 7.0).
"L'autenticazione di Active Directory su LDAP non è interessata da questa vulnerabilità", ha affermato la società. "Tuttavia, VMware consiglia vivamente ai clienti di passare a un metodo di autenticazione alternativo".
Inoltre, "Active Directory su LDAP non comprende i trust di dominio, quindi i clienti che passano a questo metodo dovranno configurare un'origine univoca di identità per ciascuno dei loro domini attendibili", ha spiegato VMware. "Identity Provider Federation per AD FS non ha questa restrizione."
Tramite BleepingComputer (si apre in una nuova scheda)