Shadowserver, 4 Mart 2025 itibariyle 41.500’den fazla internete maruz kalan VMware ESXI hipervizörlerinin, saldırılarda aktif olarak sömürülen kritik bir sıfır gün güvenlik açığı olan CVE-2025-222224’e karşı savunmasız olduğunu gözlemledi.
Broadcom acil bir güncellemede güvenlik açığını yamaladı. Sanal makineye (VM) yerel idari erişimi olan saldırganların, altta yatan hipervizörde kötü amaçlı kod yürütmesini, bulut altyapısı ve işletme ağları için felaket etkileri olan bir ihlal etmesini sağlar.
Toctou kusuruyla hipervisor kaçış
CVE-2025-22224 (CVSS 9.3), VMware ESXI ve iş istasyonu ürünlerinde bir denetim süresi (Toctou) güvenlik açığıdır. Saldırganların, VMX işleminde bireysel VM’leri yöneten hipervizör bileşeninde sınır dışı bir yazma koşulunu tetiklemesine olanak tanır.
Sömürü, idari ayrıcalıklara sahip bir saldırganın ana bilgisayar sistemine erişimi artırabileceği bir VM’nin konuk işletim sisteminden daha önce uzlaşmasını gerektirir. Bir kez elde edildiğinde, bu, hipervizör, veri depoları ve ağa bağlı varlıklardaki tüm VM’ler üzerinde sınırsız kontrol sağlar.
Broadcom, saldırganların güvenlik önlemlerini atlamak için zincirleyen iki ek güvenlik açığının (CVE-2025-22225 ve CVE-2025-22226) aktif olarak sömürülmesini doğruladı.
Microsoft Tehdit İstihbarat Merkezi güvenlik açıklarını keşfetti ve fidye yazılımı ve gelişmiş kalıcı tehdit (APT) kampanyalarındaki faydalarını not ederek Broadcom’a bildirdi.
41.500 açılmamış ESXI örneği, özellikle sağlık, finans ve telekomünikasyon sektörlerinde küresel sanallaştırma altyapısının önemli bir bölümünü temsil etmektedir.
VMware ESXI, sunucu konsolidasyonu ve bulut yönetimi için kurumsal ortamlarda yaygın olarak kullanılır, bu da bu güvenlik açığını yüksek değerli bir hedef haline getirir.
ESXI hipervizörleri doğrudan internete bakmamalı olsa da, yanlış yapılandırmalar veya modası geçmiş ağ politikaları genellikle yönetim arayüzlerini açıkta bırakır.
Kusurun düşük saldırı karmaşıklığı nedeniyle, tehdit aktörleri, kimlik avı tarafından indüklenenler gibi mevcut VM ihlallerinden yararlanabilir veya hipervizörün kontrolünü kazanmak için Web uygulamalarından yararlanabilir.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 4 Mart’ta bilinen sömürülen güvenlik açıkları (KEV) kataloğuna CVE-2025-22224 ekledi ve federal ajansları 25 Mart 2025’e kadar düzeltti.
Başarılı sömürü üç aşamayı takip eder:
- İlk VM uzlaşması: Saldırganlar kimlik avı, kimlik bilgisi hırsızlığı veya uygulama güvenlik açıkları yoluyla bir VM’ye idari erişim elde ederler.
- Toctou Sömürü: Saldırgan, VMX sürecini bozmak için ESXI’nin bellek yönetiminde yarış koşulu hatalarını kötüye kullanıyor.
- Hipervizör devralma: VMX bağlamında kod yürütme, güvenlik denetimlerinin devre dışı bırakılmasına, diğer VM’lere erişmeye veya fidye yazılımlarının dağıtılmasına olanak tanır.
Broadcom’un danışmanlığı, saldırganların bu vektörü hipervizör bağlantılı depolama sistemlerini şifrelemek, felaket kurtarma mekanizmalarını sakatlamak ve fidye yazılımı etkisini güçlendirmek için kullandıklarını vurguladı.
Bu, fidye yazılımı grupları tarafından kaldırılan başka bir ESXI kimlik doğrulama baypası kusuru olan CVE-2024-37085’ten yararlanan 2014 ortalarında kampanyalarda görülen taktikleri yansıtıyor.
Hafifletme
Broadcom, etkilenen tüm ürünler için yamalar yayınladı:
- VMware ESXI 8.0: ESXI80U3D-24585383 veya ESXI80U2D-24585300
- VMware ESXI 7.0: ESXI70U3S-24585291’e güncelleme
- VMware Cloud Foundation 5.x/4.5.x: KB389385’te detaylandırılmış async yamaları uygulayın.
Kuruluşlar, ESXI yönetim arayüzlerini derhal İnternet’ten izole etmeli, VM yönetimsel erişimini denetlemeli ve anormal VMX proses etkinliğini izlemelidir. Rapid7 ve Tenable, maruz kalan sistemleri tanımlamak için güvenlik açığı yönetim platformlarına entegre tespit kontrollerine sahiptir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free