Perşembe günü CISA, ABD devlet kurumlarını Broadcom’un VMware Aria Operations ve VMware Tools yazılımındaki yüksek önemdeki bir güvenlik açığından yararlanan saldırılara karşı sistemlerini korumaları konusunda uyardı.
CVE-2025-41244 olarak izlenen ve bir ay önce yamalanan bu güvenlik açığı, yönetici olmayan ayrıcalıklara sahip yerel saldırganların, VMware Tools içeren ve Aria Operations tarafından yönetilen, SDMP etkinleştirilmiş bir sanal makineye (VM) ayrıcalıkları yükseltmesine izin veriyor.
CISA, kusuru, siber güvenlik kurumunun vahşi ortamda istismar edildiği şeklinde işaretlediği güvenlik hatalarını listeleyen Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna ekledi. Federal Sivil Yürütme Organı (FCEB) kurumlarının, Kasım 2021’de yayınlanan Bağlayıcı Operasyonel Direktif (BOD) 22-01 uyarınca, devam eden saldırılara karşı sistemlerine yama uygulamak için artık 20 Kasım’a kadar üç haftaları var.
FCEB kurumları, İç Güvenlik Bakanlığı, Enerji Bakanlığı, Hazine Bakanlığı ve Sağlık ve İnsani Hizmetler Bakanlığı dahil olmak üzere ABD yürütme organındaki askeri olmayan kurumlardır.
BOD 22-01 yalnızca federal kurumlar için geçerli olsa da CISA, tüm kuruluşlara bu güvenlik açığını mümkün olan en kısa sürede düzeltmeye öncelik vermeleri konusunda çağrıda bulundu.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluşlar için önemli riskler oluşturuyor” uyarısında bulundu. “Satıcı talimatlarına göre azaltımları uygulayın, bulut hizmetleri için geçerli BOD 22-01 kılavuzunu takip edin veya azaltıcı önlemler mevcut değilse ürünü kullanmayı bırakın.”
Geçen Ekim ayından bu yana saldırılarda istismar edildi
Broadcom, Avrupalı siber güvenlik şirketi NVISO’dan Maxime Thiebaut’un, UNC5174 Çin devlet destekli tehdit aktörünün Ekim 2024 ortasından bu yana saldırılarda onu kötüye kullandığını bildirmesinden bir ay sonra, bugün CVE-2025-41244’ün vahşi ortamda istismar edildiğini işaretledi.
O dönemde Thiebaut, CVE-2025-41244’ün, savunmasız VMware Aria Operations (kimlik bilgisi tabanlı modda) ve VMware Tools (kimlik bilgisi içermeyen modda) çalıştıran sistemlerde ayrıcalıkları yükseltmek için nasıl yararlanılabileceğini gösteren kavram kanıtlama kodunu da yayınladı ve sonuç olarak saldırganların VM üzerinde kök düzeyinde kod yürütme elde etmesine olanak tanıdı.
UNC5174’ü Çin Devlet Güvenlik Bakanlığı’nın (MSS) yüklenicisi olarak etiketleyen Google Mandiant güvenlik analistleri, F5 BIG-IP uzaktan kod yürütme güvenlik açığından (CVE-2023-46747) yararlanan saldırıların ardından 2023’ün sonlarında tehdit aktörünün ABD savunma yüklenicilerinin, Birleşik Krallık devlet kurumlarının ve Asya kurumlarının ağlarına erişim sattığını gözlemledi.
UNC5174, Şubat 2024’te ayrıca yüzlerce ABD ve Kanada kurumunu ihlal etmek için bir ConnectWise ScreenConnect kusurundan (CVE-2024-1709) yararlandı ve Mayıs ayında, saldırganların yama yapılmamış NetWeaver Visual Composer sunucularında uzaktan kod yürütme olanağı sağlayan NetWeaver kimlik doğrulamasız dosya yükleme kusurunu (CVE-2025-31324) kötüye kullanan saldırılarla ilişkilendirildi.
Yılın başından bu yana Broadcom, Microsoft Tehdit İstihbaratı Merkezi tarafından rapor edilen, aktif olarak yararlanılan diğer üç VMware sıfır gün hatasını (CVE-2025-22224, CVE-2025-22225 ve CVE-2025-22226) düzeltti ve iki yüksek önemdeki VMware NSX güvenlik açığını (CVE-2025-41251 ve CVE-2025-41251 ve CVE-2025-41251) gidermek için güvenlik yamaları yayınladı. CVE-2025-41252) ABD Ulusal Güvenlik Ajansı (NSA) tarafından rapor edilmiştir.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.