重要警告：VMware EAP 漏洞需要立即卸载

关键要点

• VMware 发出安全警告，要求用户立即卸载 VMware Enhanced Authentication Plug-in（EAP）。
• 存在高危和严重的安全漏洞，可能导致远程攻击和会话劫持。
• 用户需手动卸载 EAP，无可用修补程序。
• vSphere 7 用户面临安全认证的重大风险。

VMware 在周二发出了一则安全警告，提醒用户及时卸载 VMware Enhanced Authentication Plug- in（EAP），因为该插件存在严重的安全漏洞，可能导致潜在的攻击风险。

VMware EAP 是一个已经弃用的浏览器插件，主要用于从客户端工作站无缝登录到 vSphere 的管理界面。该功能曾为可选功能，自 2021 年 3 月 VMware vCenter Server 7.0.0u2 发布后就停止获得支持。

在 VMware EAP 中发现的一个关键漏洞被追踪为 ，允许远程攻击者通过诱使用户访问恶意网站，从而执行任意认证中继攻击。这一漏洞由 Pen Test Partners 的 Ceri Coburn 发现，并在其博文中进行了描述。

另外一个高危漏洞被追踪为 ，可能允许本地用户劫持同一系统中其他用户的 vCenter 会话。Coburn 指出，由于 VMware EAP 日志文件中包含会话 ID，并存储在任何本地用户都能访问的 ProgramData文件夹中，因此这一漏洞存在于某些风险之中。

根据博客中发布的说法，VMware 于 2023 年 10 月 17 日首次收到了关于该漏洞的报告，并于 12 月 1日确认了这一问题，经过几轮沟通后，VMware 于 2024 年 2 月 20 日发布了安全警告。

VMware EAP 使攻击者能够请求 Kerberos 票证

有关 CVE-2024-22245 的详细情况显示，该漏洞的 CVSS 分数为 9.6。攻击者可以通过在恶意网站上使用 WebSocket 命令与 VMware EAP 进行通信，并代表受害者请求任意 Kerberos 票证。Coburn 解释说，这些票证可以针对任何 Active Directory服务主体名称（SPNs）进行请求，从而允许攻击者访问受害者 Active Directory 网络中的任何服务。

当受害者访问恶意网站（例如，通过点击钓鱼邮件中的链接）并发出票证请求时，浏览器会通知用户该网站试图与 VMware EAP进行通信。如果用户点击弹窗中的“允许访问”，则票证会被中继。

针对 CVE-2024-22250 的会话劫持漏洞，其 CVSS 得分为 7.8，攻击者需在目标系统上具备本地访问权限。在这种情况下，攻击者可以利用脚本自动扫描 ProgramData 文件夹中的 VMware 日志文件，寻找会话 ID，然后等待会话的发起。

一旦获得新的会话 ID，攻击者可以使用与第一个漏洞相同的 WebSocket 命令请求任意 Kerberos 服务票证。VMware表示，尚未认为这两个漏洞在实际环境中被利用。

VMware 插件漏洞没有补丁，需手动卸载

VMware 已提供给用户卸载 VMware EAP 的说明，卸载过程需要移除两个组件——浏览器插件本身和名为“VMware Plug-inService”的 Windows 服务。

用户可以通过 Windows 控制面板、原始程序安装程序或运行 PowerShell 命令来卸载存在漏洞的组件。VMware 还提供了禁用 Windows服务的说明，如果无法卸载，或者在无其他选项时可对插件的流量进行防火墙保护。

尽管 vSphere 客户端登录页面上仍存在 VMware EAP 的安装链接，但据 VMware FAQ 透露，该链接计划在未来的更新中移除。

尽管 VMware EAP 于 2021 年被弃用，但它仍是 vSphere 7 唯一的单点登录（SSO）认证选项，将在 2025 年 4月之前继续受到支持。

最新的平台版本 vSphere 8 提供了额外的认证方法，包括支持通过 SSL 的轻