20.275 VMware ESXi Güvenlik Açığı Örneği Açığa Çıktı

Microsoft, fidye yazılımı operatörlerinin aktif olarak istismar ettiği VMware ESXi hipervizörlerindeki bir güvenlik açığıyla ilgili önemli bir güvenlik uyarısı yayınladı.

Shadowserver Foundation’a göre, CVE-2024-37085 olarak tanımlanan güvenlik açığı, 30 Temmuz 2024 itibarıyla 20.275 örneği açığa çıkardı.

CVE-2024-37085’e (kimlik doğrulama atlama) karşı savunmasız olan VMware ESXi’yi paylaşmaya başladık. Broadcom tarafından yalnızca CVSS 6.8 olarak derecelendirilse de, bu güvenlik açığının Microsoft tarafından fidye yazılımı operatörleri tarafından vahşi doğada istismar edildiği bildirildi.

2024-07-30 tarihinde 20.275 örneğin savunmasız olduğunu görüyoruz. resim.twitter.com/wTkqDSLQ38

— Shadowserver Vakfı (@Shadowserver) 31 Temmuz 2024

CVE-2024-37085 güvenlik açığı, CVSS puanı 6,8 olan bir kimlik doğrulama atlama açığıdır. Özellikle etki alanına katılmış ESXi hipervizörlerini etkiler ve yeterli Active Directory (AD) izinlerine sahip saldırganların hipervizör üzerinde tam yönetim kontrolü elde etmesine olanak tanır.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

Bu kontrol, hipervizörün dosya sisteminin şifrelenmesi, barındırılan sanal makinelerin (VM) bozulması, veri sızdırılması ve ağ içinde yatay hareket gibi ciddi sonuçlara yol açabilir.

Vahşi Doğada Sömürü

Microsoft araştırmacıları bu güvenlik açığını istismar eden birden fazla fidye yazılımı grubu gözlemledi. Bu gruplar arasında Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest yer alıyor. İstismar genellikle “ESX Admins” adlı bir etki alanı grubu oluşturmayı ve bu gruba kullanıcılar eklemeyi, böylece onlara ESXi hypervisor’da tam yönetici ayrıcalıkları vermeyi içerir.

Dikkat çekici saldırılardan biri, Storm-0506 grubu tarafından Black Basta fidye yazılımının dağıtılmasını içeriyordu. Saldırganlar, ayrıcalıklarını yükseltmek için bir Windows CLFS güvenlik açığından (CVE-2023-28252) faydalanarak Qakbot enfeksiyonu yoluyla ilk erişimi elde ettiler.

Daha sonra Cobalt Strike ve Pypykatz gibi araçları kullanarak kimlik bilgilerini çaldılar ve ağ içinde yatay hareket ederek, ESXi güvenlik açığından yararlanmak için “ESX Admins” grubunu oluşturdular.

CVE-2024-37085’in istismarı etkilenen kuruluşlarda önemli kesintilere yol açtı. Fidye yazılımı operatörleri, ESXi hipervizörlerine tam yönetim erişimi elde ederek hipervizörün dosya sistemini şifreleyebilir; barındırılan sanal makineleri işlevsiz hale getirebilir. Bu yalnızca kritik hizmetlerin kullanılabilirliğini etkilemekle kalmaz, aynı zamanda veri kaybı ve hassas bilgilere yetkisiz erişim riski de oluşturur.

Azaltma ve Öneriler

Broadcom, CVE-2024-37085’i ele almak için güvenlik güncelleştirmeleri yayınladı. Yöneticilerin sistemlerini korumak için bu güncelleştirmeleri derhal uygulamaları şiddetle tavsiye edilir. Yama almayan ESXi sürümleri için VMware, güvenlik açığını azaltmak için belirli gelişmiş ayarların değiştirilmesini önerir:

• Ayarlamak Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd bu yanlış.
• Ayarlamak Config.HostAgent.plugins.vimsvc.authValidateInterval 1440’tan 90’a.
• Değiştirmek Config.HostAgent.plugins.hostsvc.esxAdminsGroup boş bir dizeye[3][7].

Microsoft ayrıca tüm hesaplarda çok faktörlü kimlik doğrulamanın (MFA) uygulanmasını, ayrıcalıklı hesapların üretkenlik hesaplarından izole edilmesini ve ESXi hipervizörleri ve vCenter’lar gibi kritik varlıkların güvenlik durumunun iyileştirilmesini öneriyor.

VMware ESXi hipervizörlerini kullanan kuruluşlar, fidye yazılımı saldırılarının riskini azaltmak için önerilen yamaları uygulamak ve en iyi uygulamaları takip etmek üzere derhal harekete geçmelidir.

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access