ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 4 Mart 2025’te, teyit edilen Wild içi sömürünün ardından bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna üç kritik VMware güvenlik açıkları ekleyerek acil bir uyarı yayınladı.
Güvenlik Açıkları CVE-2025-22224, CVE-2025-22225 ve CVE-2025-22226, sanal makinelere (VMS) ayrıcalıklı erişimi olan saldırganların ayrıcalıkları artırmasına, hipervizörlerde kod yürütmesine ve hassas bellek verilerini açığa çıkarmasına izin verir.
Microsoft Tehdit İstihbarat Merkezi (MSTIC) tarafından keşfedilen bu kusurlar, VMware ESXI, Workstation, Fusion, Bulut Vakfı ve Telco Cloud Platform ürünlerini etkiliyor.
CISA’nın danışmanlığı, Broadcom’un yamaların serbest bırakılmasıyla çakışarak, federal ajansların ve özel kuruluşların bağlayıcı operasyonel direktif (BOD) kapsamında iyileştirmeye öncelik vermesi gerekliliğini vurgulamaktadır.
VMware Güvenlik Açıkları Sömürülen
Kritik Toctou Kususu, Hipervisor Devralma’yı Sağlar (CVE-2025-22224)
CVSS skoru 9.3 olan üçlünün en şiddetli olan CVE-2025-22224, VMware ESXI ve iş istasyonunda kullanım süresi (Toctou) yarış koşuludur.
Bir VM’de idari ayrıcalıklara sahip saldırganlar, VMX işlemi içinde – VM işlemlerini yöneten hipervizör bileşeni olan rasgele kod yürütmek için bu yığın taşma güvenlik açığını kullanabilir.
Başarılı sömürü, sanallaştırılmış altyapılarda yanal hareket sağlayarak ana bilgisayar sistemi üzerinde kontrol sağlar.
Rasgele Write (CVE-2025-22225) ile Sandbox Kaçış
CVE-2025-22225 (CVSS 8.2), kimlik doğrulamalı saldırganların VMX işlemi aracılığıyla ESXI ana bilgisayarlarına keyfi veri yazmasına izin verir ve sanal alan kaçışlarını kolaylaştırır. Çekirdek belleğini manipüle ederek, rakipler kötü amaçlı yazılımları dağıtmak veya hizmetleri bozmak için yüksek ayrıcalıklar kazanırlar.
Bu kusur, tek bir uzlaşmış VM’nin tüm kümeleri tehlikeye atabileceği çok kiracılı bulut ortamlarında özellikle tehlikelidir.
Hipervizör bellek sızıntısı (CVE-2025-22226)
Üçüncü güvenlik açığı, CVE-2025-22226 (CVSS 7.1), VMware’in ana konuk dosya sisteminde (HGFS) okunan bir sınırdan kaynaklanmaktadır.
Bu kusurdan yararlanan saldırganlar, şifreleme anahtarları veya hipervizör belleğinde depolanan kimlik bilgileri de dahil olmak üzere VMX işleminden hassas verileri çıkarabilir. Diğerlerinden daha az şiddetli olsa da, daha fazla saldırı düzenlemek için kritik keşif verileri sağlar.
Broadcom, etkilenen tüm ürünler için düzeltmeler yayınladı:
- ESXI 8.0/7.0: ESXI80U3D-24585383 ve ESXI70U3S-24585291
- İş istasyonu 17.x: Sürüm 17.6.3 Adresler CVE-2025-22224/22226
- Fusion 13.x: GÜNCELLEME 13.6.3 CVE-2025-22226’yı çözer
VMware Cloud Foundation veya Telco Bulut Platformu kullanan kuruluşlar asenkron yamalar uygulamalı veya sabit ESXI sürümlerine yükseltmelidir.
- Anında yama: ESXI, iş istasyonu ve füzyon güncellemelerine öncelik verin.
- VM etkinliğini izleyin: Olağandışı ayrıcalık artış veya bellek erişim modellerini tespit edin.
- BOD 22-01 çerçevelerinden yararlanın: Düzeltme iş akışlarını CISA’nın KEV zaman çizelgeleriyle hizalayın.
Sömürü zaten gözlemlendiğinde, gecikmeli yama riskleri 2024 vCenter sunucu olaylarına benzer büyük ölçekli ihlaller. Sanallaştırma kritik altyapının temelini oluşturdukça, proaktif savunma, kalıcı erişim arayan ulus devlet düşmanlarını engellemek için çok önemlidir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free