重要警告：VMware EAP 漏洞需要立即卸载

关键要点

VMware 发出安全警告，要求用户立即卸载 VMware Enhanced Authentication PluginEAP。存在高危和严重的安全漏洞，可能导致远程攻击和会话劫持。用户需手动卸载 EAP，无可用修补程序。vSphere 7 用户面临安全认证的重大风险。

VMware 在周二发出了一则安全警告，提醒用户及时卸载 VMware Enhanced Authentication PluginEAP，因为该插件存在严重的安全漏洞，可能导致潜在的攻击风险。

VMware EAP 是一个已经弃用的浏览器插件，主要用于从客户端工作站无缝登录到 vSphere 的管理界面。该功能曾为可选功能，自 2021 年 3 月 VMware vCenter Server 700u2 发布后就停止获得支持。

在 VMware EAP 中发现的一个关键漏洞被追踪为 CVE202422245，允许远程攻击者通过诱使用户访问恶意网站，从而执行任意认证中继攻击。这一漏洞由 Pen Test Partners 的 Ceri Coburn 发现，并在其博文中进行了描述。

另外一个高危漏洞被追踪为 CVE202422250，可能允许本地用户劫持同一系统中其他用户的 vCenter 会话。Coburn 指出，由于 VMware EAP 日志文件中包含会话 ID，并存储在任何本地用户都能访问的 ProgramData 文件夹中，因此这一漏洞存在于某些风险之中。

根据博客中发布的说法，VMware 于 2023 年 10 月 17 日首次收到了关于该漏洞的报告，并于 12 月 1 日确认了这一问题，经过几轮沟通后，VMware 于 2024 年 2 月 20 日发布了安全警告。

VMware EAP 使攻击者能够请求 Kerberos 票证

有关 CVE202422245 的详细情况显示，该漏洞的 CVSS 分数为 96。攻击者可以通过在恶意网站上使用 WebSocket 命令与 VMware EAP 进行通信，并代表受害者请求任意 Kerberos 票证。Coburn 解释说，这些票证可以针对任何 Active Directory 服务主体名称SPNs进行请求，从而允许攻击者访问受害者 Active Directory 网络中的任何服务。

当受害者访问恶意网站例如，通过点击钓鱼邮件中的链接并发出票证请求时，浏览器会通知用户该网站试图与 VMware EAP 进行通信。如果用户点击弹窗中的“允许访问”，则票证会被中继。

针对 CVE202422250 的会话劫持漏洞，其 CVSS 得分为 78，攻击者需在目标系统上具备本地访问权限。在这种情况下，攻击者可以利用脚本自动扫描 ProgramData 文件夹中的 VMware 日志文件，寻找会话 ID，然后等待会话的发起。

一旦获得新的会话 ID，攻击者可以使用与第一个漏洞相同的 WebSocket 命令请求任意 Kerberos 服务票证。VMware 表示，尚未认为这两个漏洞在实际环境中被利用。

VMware 插件漏洞没有补丁，需手动卸载

VMware 已提供给用户卸载 VMware EAP 的说明，卸载过程需要移除两个组件浏览器插件本身和名为“VMware Plugin Service”的 Windows 服务。

用户可以通过 Windows 控制面板、原始程序安装程序或运行 PowerShell 命令来卸载存在漏洞的组件。VMware 还提供了禁用 Windows 服务的说明，如果无法卸载，或者在无其他选项时可对插件的流量进行防火墙保护。

尽管 vSphere 客户端登录页面上仍存在 VMware EAP 的安装链接，但据 VMware FAQ 透露，该链接计划在未来的更新中移除。

黑洞加速器下载

尽管 VMware EAP 于 2021 年被弃用，但它仍是 vSphere 7 唯一的单点登录SSO认证选项，将在 2025 年 4 月之前继续受到支持。

最新的平台版本 vSphere 8 提供了额外的认证方法，包括支持通过 SSL 的轻