Bulut Güvenliği, Yeni Nesil Teknolojiler ve Güvenli Geliştirme, Güvenlik İşlemleri
Güvenlik açıkları, bir hipervizör kaçışını yürütmek için birlikte zincirlenebilir
Mathew J. Schwartz (Euroinfosec) •
5 Mart 2025
Broadcom’un VMware Cloud Altyapı Bölümü, ESXI hipervizör işletim sistemindeki üç aktif olarak sömürülen sıfır günlük güvenlik açıklarını yamalamak için güncellemeler yayınladı.
Ayrıca bakınız: Bulut güvenliği ve güvenlik duvarının gelişen rolü
Kusurlar bir sanal makine kaçışı yapmak için kullanılabilir. Broadcom Salı güvenlik danışmanında, “Bu, sanal makinenin konuk işletim sistemini zaten tehlikeye atmış ve ayrıcalıklı erişim – yönetici veya kök – kazanan bir saldırganın hipervizörün kendisine taşınabileceği bir durumdur.” Dedi.
Her üç kusur da VMware ESX – AKA ESXI – ve İş İstasyonu, Fusion, Bulut Vakfı ve Telco Bulut Platform ürünlerinin desteklenen tüm sürümlerinde bulunur. Bilgisayar korsanları aktif olarak kusurlardan yararlanıyor, diye uyardı.
Danışmanlık ortaya çıktıktan kısa bir süre sonra, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bilinen sömürülen güvenlik açıkları kataloğuna kusurları ekledi.
Araştırmacılar, saldırganların sistemleri tehlikeye atmak ve verileri çalmak için uzaktan yürütmek için kullanabileceği güvenlik açıklarının ortaya koyduğu riski hafife almaya karşı uyardı. İngiliz siber güvenlik uzmanı Kevin Beaumont, sosyal platform Mastodon’a yaptığı bir yazıda, “RCE hipervizörlerinin bunun gibi her desteklenen ve desteklenmeyen ürünlerden kaçmaları için vahşi bir istismar, benzeri görülmemiş” dedi.
“ESX erişiminiz olduğunda, ESX sunucusundaki her şeye erişebilirsiniz – bu da VM verileri ve en önemlisi ESX yapılandırma ve monte depolama gibi şeyleri içerir.” Dedi. “ESX yapılandırma ve monte edilmiş ağ depolama kullanarak VMware ortamını geçebilirsiniz.”
Buna ek olarak, hipervizörden kaçtığında, bir saldırgan “tüm güvenlik araçları ve izlemenin dışında” bir “kara kutu” ortamında faaliyet gösterecekti.
Ortak güvenlik açığı puanlama sisteminde ölçülmesi ile üç güvenlik açığı şunlardır:
- CVE-2025-22224 (CVSS 9.3): Yerel idari ayrıcalıklara sahip bir saldırganın kodu yürütülebilir veya VMX işlemi aracılığıyla kodu yürütmek için kullanabileceği bir çalışma süresi kullanım süresi güvenlik açığı;
- CVE-2025-22225 (CVSS 8.2): Siber güvenlik firması Rapid7;
- CVE-2025-22226 (CVSS 7.1): Bir saldırganın yönetici düzeyinde ayrıcalıkları varsa bilgi açıklama güvenlik açığı.
Rapid7’nin baş güvenlik araştırmacısı Stephen Litser, bir blog yazısında, “Danışmandaki bilgilere dayanarak, üç güvenlik açığının birlikte zincirlenebileceği anlaşılıyor.” Dedi.
Fidye yazılımı kullanan saldırganlar, diğerlerinin yanı sıra, eşleştirilmemiş ESXI sistemlerini hedeflemeye devam ediyor, çoğu zaman verileri çalıyor ve çevreyi şifreledikten sonra fidye tutuyor.
Organizasyonlar, özellikle şu anda sunulan hakem döneminde, “CVES’in hiçbiri için bilinen bir kamu istismarı kodu bulunmayan”, kusurlardan nasıl yararlanılacağı henüz yaygın olarak bilinmediği, güvenlik açıklarını olabildiğince hızlı bir şekilde yama yapmalıdır. “Bununla birlikte, ESXI hipervizörlerinin hem finansal olarak motive edilmiş hem de devlet destekli rakipler için popüler hedefler olduğu göz önüne alındığında, Rapid7, hızlandırılmış bir temelde satıcı tarafından sağlanan düzeltmelerin uygulanmasını önerir.”
Güncellemeler yoluyla yama güvenlik açıkları
Broadcom, kusurların düzeltilmesinin güncellemelerin yüklenmesini gerektirdiğini söyledi – ve telco bulut platformu durumunda, temel ürünün lisansının güncellenmesini gerektirebilecek ESXI’nin güncellenmiş sürümünü yüklemek ve VMware ESX’i yeniden başlatmayı gerektiriyor.
Broadcom, “Bu güvenlik açığından yararlanmak, bir konuk işletim sisteminde yönetici/kök ayrıcalıkları gerektirir, bu nedenle mevcutsa yardımcı olabilecek başka savunma katmanları da vardır.” Dedi. “VMware ESX’in güncellenmesini ve yeniden başlatılmasını içermeyen başka anlamlı geçici çözümler yok.”
Broadcom, otomatik yük dengeleme için zaten VMOtion kullanan herhangi bir kuruluş, sanal makineleri güncellerken ‘yeniden başlatma’ tarzında güncellerken ana bilgisayarları değiştirmeye yönlendirmek için kullanabilir. “Dedi. “VMotion kullanmayan sanal makinelerin ana bilgisayar yeniden başlatma sırasında güçlendirilmesi gerekecektir.”
Ürünlerin şu anda desteklenen tüm sürümleri, VMware vSphere 6.7 dahil olmak üzere güvenlik açıklarına sahip gibi görünmektedir. VMware vSphere 6.5’i hala kullanan herhangi bir kuruluş için, genişletilmiş destek için ödeme yapmışlarsa bir yama kullanılabilir. Güvenlik uzmanları, kuruluşların hiçbir yamanın bulunmadığı ESXI’nın tüm eski sürümlerinin de 5.5 sürümleri de dahil olmak üzere savunmasız olduğunu varsaymaları gerektiğini söyledi.
Tavsiye: Uzlaşma avı
Güvenlik uzmanları, etkilenen VMware yazılımının tüm kullanıcılarını sadece yamaya değil, güvenlik açıklarının kendilerine karşı zaten kullanılmış olabileceğine dair işaretleri aktif olarak avlamaya çağırıyor.
Bu cephede, bazı uzmanlar VMware’in uyarısını yeterince ileri gitmediği için eleştirdi. LinkedIn’e gönderilen dijital adli analiz platformu Nextron Systems için Ar -Ge başkan yardımcısı Florian Roth, “Her zamanki gibi, VMware yamalar – ama başka bir şey değil,” dedi. “Sıfır günleri aktif olarak sömürüldüğünde, yama yeterli değildir.”
Kullanıcılara tavsiyesi: Bilgisayar korsanlarının kusuru zaten kullanmış olup olmadığını inceleyin ve eğer öyleyse, şimdi ne eksik olabilir. “Güvenlik konusunda ciddiyseniz, bir uzlaşma değerlendirmesi yapmanız ve aktif olarak uzlaşma göstergelerini aramanız gerekir.” Dedi. “Saldırganların ortamınızda zaten bir dayanak olup olmadığını belirlemeniz gerekiyor.”
Beaumont, güvenlik açıklarının tehlikeli olduğunu söyledi çünkü saldırganlara sadece tek, barındırılan bir sisteme değil, aynı zamanda bir kuruluş içindeki barındırılan her sisteme erişim sağlayabileceklerini söyledi.
“Bulutlarda etkili bir şekilde çalışan ve KOBİ’lerin tamamen yönetilen VM’ler satın almasına izin veren yaklaşık 500 yönetilen VMware sağlayıcısı var, temelde talep üzerine hesaplama.” Dedi. Bir müşterinin sanal makinesinden ödün vermek, bir saldırganın MSP’den diğer tüm VM’leri tehlikeye atmasını sağlayabilir.
“Bu, VMware kullanarak kendi özel bulutlarını oluşturan şirketler için de geçerlidir ve iş birimlerini ayırmak için VMware kullanır.” Dedi.