VMware, una de las principales empresas de virtualización y computación en la nube, ha emitido una alerta urgente a sus usuarios para que procedan con la desinstalación inmediata del Plugin de Autenticación Mejorada (EAP, por sus siglas en inglés). Esta medida se toma tras el descubrimiento de una vulnerabilidad crítica, identificada como CVE-2024-22245, que alcanza una puntuación de 9.6 en el sistema de puntuación CVSS. Este fallo de seguridad ha sido clasificado como un problema de relay de autenticación arbitraria, que también permite el secuestro de sesiones.
La vulnerabilidad permite a un atacante manipular a un usuario que tenga instalado el EAP en su navegador web, facilitando el reenvío de tickets de servicio para Nombres Principales de Servicio de Directorio Activo (SPNs) arbitrarios. Esto crea un escenario de riesgo elevado, donde la integridad y confidencialidad de los sistemas pueden verse comprometidas significativamente.
El EAP, que fue marcado como obsoleto por VMware desde marzo de 2021, es un paquete de software diseñado para simplificar el proceso de inicio de sesión directo en las interfaces y herramientas de gestión de vSphere a través de un navegador web. Importante destacar que este plugin no es parte por defecto de las instalaciones de vCenter Server, ESXi, ni Cloud Foundation.
Adicionalmente, se ha identificado otra vulnerabilidad que afecta al EAP, catalogada como CVE-2024-22250, con una puntuación CVSS de 7.8. Esta vulnerabilidad permite el secuestro de sesión, otorgando a un atacante con acceso local sin privilegios en un sistema operativo Windows, la capacidad de tomar control de una sesión EAP privilegiada.
El descubrimiento y reporte de estas vulnerabilidades críticas (CVE-2024-22245 y CVE-2024-22250) se atribuyen a Ceri Coburn de Pen Test Partners, destacando la importancia de la colaboración entre investigadores de seguridad y empresas para identificar y mitigar riesgos.
Cabe señalar que las vulnerabilidades mencionadas afectan únicamente a aquellos usuarios que hayan incorporado el EAP a sistemas Microsoft Windows para conectarse a VMware vSphere mediante el Cliente vSphere. Ante la gravedad de estas vulnerabilidades, VMware ha decidido no ofrecer un parche para solucionarlas. En su lugar, la empresa insta a los usuarios a desinstalar completamente el plugin como medida preventiva para mitigar cualquier amenaza potencial.
Para llevar a cabo la desinstalación del EAP, los usuarios deben seguir el procedimiento estándar de desinstalación de software del sistema operativo en cuestión. Esta acción preventiva busca proteger los sistemas de posibles explotaciones que comprometan la seguridad de la infraestructura virtualizada y los datos críticos de las organizaciones.
La alerta emitida por VMware resalta la importancia de mantener una postura proactiva en ciberseguridad, actualizando y desinstalando software obsoleto o vulnerable que pueda poner en riesgo la integridad de los sistemas y la información sensible de las empresas.
Referencias:
