Dalış Kılavuzu:
- Broadcom Salı günü ESXI, iş istasyonu ve füzyon dahil olmak üzere birden fazla VMware ürününü etkileyen üç sıfır günlük güvenlik açıkını açıkladı. Güvenlik açıkları vahşi doğada sömürülmüştür.
- Shadowserver Foundation’dan gelen verilere göre, 37.000’den fazla VMware ESXI örneği, kritik bir sıfır gün güvenlik açığı olan CVE-2025-22224’e karşı savunmasız kalıyor.
- Düşüşlü VMware lisansları olan bazı müşteriler, Broadcom Destek Portalı ile ilgili bir sorun nedeniyle yamaları indiremedi. Şirket bir SSS’de sorunun “yüksek bir öncelik olduğunu ve kısa süre içinde sabitleneceğini” söyledi.
Dalış içgörü:
Üç sıfır günlük güvenlik açıklarından en şiddetli olanı, VMware ESXI ve iş istasyonunda, sınır dışı bir yazma koşuluna yol açabilecek kritik bir kontrol süresi (ToCtou) güvenlik açığı olan CVE-2025-22224’tür. Broadcom’un danışmanlığı, yerel yönetici ayrıcalıklarına sahip bir saldırganın, ana bilgisayarda çalışan sanal makine yürütülebilir dosyası (VMX) işleminde kod yürütebileceğini belirtti.
Sıfır gün üçlüsü, VMware ESXI’da VMX işleminde bir sanal alan kaçışı yürütmek için ayrıcalıklı bir saldırganı sağlayabilen yüksek şiddetli bir keyfi yazma kırılganlığı olan CVE-2025-22225’i de içerir; ve VMware ESXI, iş istasyonu ve füzyonda ayrıcalıklı bir saldırganın VMX işleminden bellek sızdırmasına izin verebilecek yüksek aralıklı bir bilgi açıklama güvenlik açığı olan CVE-2025-22226.
Çarşamba günü bir blog yazısında, güvenlik araştırmacısı Kevin Beaumont, üç kusurun bir hipervizör kaçışı olarak da bilinen bir VM kaçışını yürütmek için birlikte zincirlenebileceğini söyledi. Tehdit algılama sistemlerinin tipik olarak VMware ortamlarında görünürlükten yoksun olduğu için bu tür kaçışların kuruluşlara önemli tehditler oluşturduğunu vurguladı.
Beaumont, “ESXI, EDR araçlarına sahip olmadığınız ve böyle bir ‘kara kutu’ ortamıdır – kilitlenir. Bu nedenle, bir hipervizör kaçışı, bir tehdit oyuncunun tüm güvenlik araçları ve izlemenin dışında olduğu anlamına gelir.” “Örneğin, yığının herhangi bir yerinde herhangi bir uyarıyı tetiklemeden Active Directory Etki Alanı Denetleyicisi veritabanlarına erişebilir veya verileri silebilirler.”
Shadowserver’ın tarama verilerine göre, 41.450 ESXI örneği, sıfır gün güvenlik açıklarının kamuya açıklandığı gün Salı günü CVE-2025-22224’e karşı savunmasızdı. Bu sayı Çarşamba günü 37.322’ye düştü. CVE-2025-22224 için en çok satılmamış örnekler Çin, Fransa ve ABD’de bulunmaktadır
Yama oranları iyileşmiş olsa da, bazı VMware müşterileri Broadcom Destek Portalı ile ilgili sorun nedeniyle yazılımlarını güncelleyemedi. SSS’de, “Bu arada, yamayı elde etmek için ürün içi indirmelerden yararlanmanız önerilir. Bu mümkün değilse, lütfen destek için teknik olmayan bir destek bileti açın.”
Broadcom Destek Portalı sorununun çözülüp çözülmediği belirsiz. Siber Güvenlik Dive, Broadcom ile portalın durumu hakkında temasa geçti, ancak şirket sorguya doğrudan yanıt vermedi. Bir Broadcom sözcüsü aşağıdaki ifadeyi verdi:
“4 Mart 2025’te yayınlanan bir Broadcom Güvenlik Danışmanlığı ve Teknik SSS, VMware Cloud Foundation platformunun bileşenlerinde yeni keşfedilen ve şimdi paketlenmiş üç güvenlik açıklarını açıklar.
“Broadcom, etkilenen VCF platform bileşenlerinin savunmasız sürümlerini kullanan tüm müşterilere, güvenlik danışmanında tanımlanan ‘sabit versiyona’ derhal güncelleme önerir. Bu güvenlik açıklarının sömürülmesi, bir tehdit aktörünün çalışan bir sanal makineden bir hipervizöre erişmesini gerektirebilir, ancak aktörün ilk olarak erişim makinesinde yerel ayrıcalıklar elde etmesini gerektirebilir.”