Siber güvenlik araştırmacıları, dünya çapında 17.000’den fazla VMware ESXI kurulumu CVE-2025-41236 (CVSS 9.3) olarak izlenen ciddi bir tamsayı aşımı güvenlik açığından risk altındadır.
İlk olarak Temmuz ayında işaretlenen bu kritik güvenlik açığı, acil yama çağrıları başlattı, ancak en son tarama sonuçları ilerlemenin yavaş kaldığını ve binlerce sistemin hala açıldığını gösteriyor.
Shadowserver Vakfı, İngiltere hükümeti ile ortaklaşa, CVE-2025-41236 için hedeflenen tespiti 19 Temmuz 2025’te günlük küresel taramasına dahil etti.
Açılış taraması, kurumsal ortamlarda kullanılan popüler bir sanallaştırma platformu olan ESXI’nin savunmasız sürümlerini çalıştıran şaşırtıcı 17.238 benzersiz IPS’yi tanımladı.
10 Ağustos’a kadar, açılmamış sunucuların sayısı, açık uyarılara ve bu tehdidin eleştirel doğasına rağmen endişe verici derecede yavaş bir iyileştirme hızının altını çizerek 16.330’a marjinal olarak düştü.
VMware ESXI Güvenlik Açığı-CVE-2025-41236
Maruz kalan sistemlerin coğrafi dağılımı, zorluğun ölçeğini vurgulamaktadır. Fransa, Çin, Amerika Birleşik Devletleri ve Almanya, her biri yüzlerce veya binlerce savunmasız ESXI örneğine ev sahipliği yapan en çok etkilenen ülke listesinde yer almaktadır.
Önemli maruziyete sahip diğer bölgeler arasında Rusya, Hollanda ve Brezilya bulunmaktadır. Durum, sanallaştırma için ESXI’ye güvenen işletmeler, hükümetler ve bulut hizmet sağlayıcıları için daha fazla risk sunmaktadır.
Bu güvenlik açığından yararlanabilen saldırganlar, temel altyapı üzerinde kontrol sahibi olabilir ve potansiyel olarak kritik sistemleri ölçeklendirebilir.
CVE-2025-41236, VMware ESXI’nın HTTP yönetim arayüzünde bir tamsayı aşımı hatasıdır. CVSS ölçeğinde 10 üzerinden 9.3 olarak derecelendirilen, kimlik doğrulanmamış uzak saldırganların keyfi kod yürütmesine, ayrıcalıkları artırmasına veya sanal ortamlarda fidye yazılımı sunmasına izin verir.
Araştırmacılar, sömürünün önemsiz olduğunu ve saldırganların tüm veri merkezlerinde dönmesini sağlayabileceğini söylüyor. Güvenlik açığı ESXI 7.x ve bazı 8.x binaları etkiler, istismarların Temmuz ayı sonundan bu yana yeraltı forumlarında dolaştığı bildirilmektedir.
Güvenlik ekipleri, sayılara yansıtıldığı gibi yavaş yanıt verdi: Shadowserver’ın üç haftadaki taramaları, 1.000’den az savunmasız örnekte bir azalma gösteriyor, bu da risk altında olanların neredeyse% 5’i. Uzmanlar, karmaşık yükseltme süreçlerine, kesinti endişelerine ve kötü farkındalıklara halsiz yamayı atfetiyor.
Maruz kalan birçok ESXI ana bilgisayarına doğrudan internetten erişilebilir, riski birleştirir ve kitlesel sömürü kampanyalarını davet eder.
- Hemen yama: Patched ESXI sürümlerini çalıştıran kuruluşlar, VMware’in resmi güvenlik güncellemelerini gecikmeden dağıtmalıdır.
- Pozlamayı Kontrol Edin: Ortamlarınızın ortaya çıkıp açılmadığını kontrol etmek için genel tarama araçlarını veya satıcı danışmanlarını kullanın.
- Erişimi kısıtlamak: İnternet’e dönük yönetim arayüzlerini sınırlayın ve güçlü kimlik doğrulama politikalarını uygular.
Binlerce internete maruz kalan, eşleştirilmemiş ESXI sunucularının devam eden varlığı, iyileştirilmiş güvenlik hijyeni ve hızlandırılmış güvenlik açığı yönetimi çabalarına acil bir ihtiyaç olduğunu işaret ediyor. Küresel siber suçlular aktif olarak CVE-2025-41236’dan yararlanmaya çalışırken, zaman esastır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.