Eine Schwachstelle mit hohem Schweregrad, die vor fast einem Jahr in VMware vCenter Server 8.0 entdeckt wurde, muss noch gepatcht werden (wird in einem neuen Tab geöffnet), bestätigte das Unternehmen.
Der Fehler, der als CVE-2021-22048 identifiziert wird, wird als Sicherheitsanfälligkeit zur Rechteerweiterung beschrieben und ermöglicht Nicht-Administratorbenutzern, ihre Rechte auf nicht gepatchten Servern zu erhöhen. Es wurde im November 2021 im integrierten Windows-Authentifizierungsmechanismus (IWA) von vCenter Server entdeckt.
Bedrohungsakteure, die die Schwachstelle erfolgreich ausnutzen, können „die Vertraulichkeit und/oder Integrität von Benutzerdaten und/oder Verarbeitungsressourcen durch Benutzerunterstützung oder durch authentifizierte Angreifer vollständig gefährden“, hieß es damals.
Alternativlösungen verfügbar
Die Lösung steht noch aus, aber nicht aus Mangel an Versuchen. VMware veröffentlichte im Juli dieses Jahres ein Sicherheitsupdate, das versuchte, den Fehler auf Servern zu beheben, auf denen die neueste Version ausgeführt wird (dh vCenter Server 7.0 Update 3f, laut BleepingComputer).
Das Unternehmen war jedoch gezwungen, den Patch weniger als zwei Wochen später zurückzuziehen, da er das Problem nicht behob und auch dazu führte, dass der sichere Token-Dienst (vmware-stsd) während des Patches fehlschlug.
„VMware hat festgestellt, dass die oben in der Antwortmatrix erwähnten vCenter 7.0u3f-Updates CVE-2021-22048 nicht beheben und ein Funktionsproblem einführen“, sagte VMware damals in seinem Sicherheitshinweis.
Bis ein Fix verfügbar ist, werden IT-Administratoren, die die betroffenen Systeme ausführen, aufgefordert, einen Fix zu implementieren, indem sie von IWA zu Active Directory über LDAP-Authentifizierung ODER Identity Provider Federation für AD FS (vSphere 7.0) wechseln.
„Die Active Directory-Authentifizierung über LDAP ist von dieser Sicherheitslücke nicht betroffen“, sagte das Unternehmen. „VMware empfiehlt Kunden jedoch dringend, den Umstieg auf eine alternative Authentifizierungsmethode zu planen.“
Darüber hinaus „versteht Active Directory über LDAP keine Domänenvertrauensstellungen, sodass Kunden, die zu dieser Methode wechseln, eine eindeutige Identitätsquelle für jede ihrer vertrauenswürdigen Domänen konfigurieren müssen“, erklärte VMware. „Identity Provider Federation für AD FS unterliegt dieser Einschränkung nicht.“
Über BleepingComputer (Wird in einem neuen Tab geöffnet)