Yakın zamandaki en ciddi VMware güvenlik açıklarından biri, bir yama yayınlanmadan önce Çin’in gelişmiş kalıcı tehdidi (APT) tarafından yıllarca gizlice istismar edilmesiydi.
Ekim ayında her şey hazırdı haber ilk çıktığında CVE-2023-34048VMware’in sanal ortamları yönetmeye yönelik merkezi platformu olan vCenter Server’ı etkileyen, CVSS tarafından 10 üzerinden 9,8 “kritik” dereceli sınır dışı yazma güvenlik açığı. Bu sorunun ne kadar ciddi olduğunun bir göstergesi olarak VMware, yamaları ürünün kullanım ömrü sonu sürümleri için de genişletecek kadar ileri gitti.
Ancak en azından bazı durumlarda tüm bu çabalar çok az veya çok geç olmuş olabilir. İçinde 19 Ocak tarihli bir blog yazısıMandiant, UNC3886 olarak takip ettiği Çinli bir tehdit aktörünün, en azından 2021’in sonlarından bu yana CVE-2023-34048’i sıfır gün olarak gizlice kullandığını ortaya çıkardı.
Critical Start’ın siber tehdit araştırması kıdemli yöneticisi Callie Guenther, “CVE-2023-34048’in kullanılması, VMware gibi yaygın olarak kullanılan yazılımlardaki karmaşık güvenlik açıklarını belirleme ve bunlardan yararlanma konusunda yüksek düzeyde yeterliliğe işaret eden derin bir teknik zekayı yansıtıyor” diyor.
UNC3886’nın VMWare Kullanımı
Mandiant’ın Çin bağlantılı bir casusluk grubu olarak tanımladığı UNC3886, tam da bu tür bir hileyi gerçekleştirecek tehdit aktörüdür. Hakkında çok az şey bilinmesine rağmen, ortaya çıktı VMware ortamlarını hedefleme önce.
Örneğin geçen yıl Mandiant, aktörün farklı bir VMware sıfır gününü kullandığını ortaya koymuştu: CVE-2023-20867. Bu, konuk sanal makinelerde (VM’ler) performansı artırmaya yönelik bir araç seti olan VMware Tools’da daha az ciddi (CVSS 10 üzerinden 3,9, “düşük” önem derecesi) bir kimlik doğrulama sorunuydu.
O zamanlar önemli bir eksik parça, UNC3886’nın ESXi ana bilgisayarları üzerinde tam uzlaşmayı nasıl elde ettiğiydi; bu kusurdan yararlanmak için gerekli bir ön koşuldu.
Bu yanıt VMware hizmetinin kilitlenme günlüklerinde yatıyordu. Burada analistler, VMware Dizin Hizmetinin (VMDIRD), grubun “VirtualPita” ve “VirtualPie” arka kapılarını konuşlandırmasından sadece birkaç dakika önce güvenilir bir şekilde çöktüğünü keşfettiler. Bu çökmeler CVE-2023-34048’in kullanılmasıyla ilişkilendirildi.
Görünüşe göre istismar zincirinin bu ilk aşaması, saldırganlara hedeflerinin ortamlarında uzaktan kod yürütme (RCE) yetenekleri sağlıyor, bunun üzerine saldırganlar kimlik bilgilerini çalıyor ve bunları, güvenliği ihlal edilmiş vCenter sunucusuna bağlı ESXi ana bilgisayarlarının güvenliğini aşmak için kullanıyor. Ardından arka kapılar ve ardından CVE-2023-20867 açığı geldi.
Kanarya çökmeleri, 2021 sonları ile 2022 başları arasında birden fazla UNC3886 saldırısında gözlemlendi.
Günther, “UNC3886’nın güvenlik açıklarından yararlanmak için kullandığı uzun vadeli strateji, Çin devleti destekli siber faaliyetlerin daha geniş işleyiş tarzıyla uyumlu” dedi. “Çin’in siber casusluk çabaları genellikle stratejik sabır, ısrar ve uzun vadeli istihbarat toplamaya odaklanma ile karakterize edilir. Bu yaklaşım, sürdürülen siber operasyonların daha geniş devlet hedeflerini desteklediği daha geniş jeopolitik ve ekonomik hedeflerin göstergesidir. Bu bağlamda, UNC3886’nın faaliyetleri, Çin’in siber casusluk ve istihbarata yönelik sistematik ve metodik yaklaşımının daha geniş anlatımına tam olarak uyuyor.”
VMware Müşterileri için Son Nokta
Ekim ayında yeniden yama uygulayan kuruluşların, sıfır gün döneminde riske girmediklerinden emin olmak için artık çalışmalarını bir kez daha kontrol etmeleri gerekebilir.
Günther, CVE-2023-34048 üzerinden yaşanan kargaşaya ve VMware’in mümkün olduğu kadar çok sayıda cihaza yama yapma çabalarına rağmen, “çok sayıda kuruluşun hâlâ yama yapılmamış veya güncel olmayan sürümleri çalıştırıyor olması makul” diye düşünüyor.
“Bunun nedeni kaynak eksikliği, BT altyapısındaki karmaşıklıklar, uyumluluk sorunları veya yama yönetimi süreçlerindeki basit gözetim gibi bir dizi faktörden kaynaklanabilir” diyor ve ekliyor: “Kuruluşlar genellikle yamaları hızlı bir şekilde dağıtma konusunda zorluklarla karşılaşıyor, özellikle de UNC3886 gibi tehdit aktörlerinin yararlanabileceği güvenlik açığı pencerelerine yol açan büyük veya karmaşık ortamlar.”
Hala risk altında olanlar iyileştirme bilgilerini şurada bulabilirler: VMware’in orijinal güvenlik tavsiyesi Ekim ayından itibaren.