CISA, ABD Federal Sivil Yürütme Organı’na (FCEB) sunucularını fidye yazılımı saldırılarında kullanılan VMware ESXi kimlik doğrulama atlama güvenlik açığına karşı güvence altına almaları talimatını verdi.
Broadcom’un yan kuruluşu VMware, Microsoft güvenlik araştırmacıları tarafından 25 Haziran’da ESXi 8.0 U3’ün yayınlanmasıyla keşfedilen bu açığı (CVE-2024-37085) düzeltti.
CVE-2024-37085, saldırganların ‘ESX Yöneticileri’ grubuna yeni bir kullanıcı eklemesine olanak tanır. Bu kullanıcı varsayılan olarak mevcut değildir ancak ESXi hipervizöründe yüksek ayrıcalıklar elde edildikten sonra eklenebilir ve bu kullanıcıya otomatik olarak tam yönetici ayrıcalıkları atanır.
Başarılı bir istismarın gerçekleştirilmesi için kullanıcı etkileşimi ve yüksek yetkiler gerekmesine ve VMware’in bu açığı orta düzeyde ciddiyet olarak değerlendirmesine rağmen, Microsoft pazartesi günü yaptığı açıklamada, birkaç fidye yazılımı çetesinin etki alanına bağlı hipervizörlerde tam yönetici yetkilerine ulaşmak için bu açığı istismar etmeye başladığını duyurdu.
Yönetici izinlerini elde ettiklerinde, sanal makinelerden hassas verileri çalıyorlar, kurbanların ağlarında yatay olarak hareket ediyorlar ve ardından ESXi hipervizörünün dosya sistemini şifreleyerek kesintilere ve iş operasyonlarının aksamasına neden oluyorlar.
CVE-2024-37085, şimdiye kadar Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest olarak izlenen fidye yazılımı operatörleri tarafından Akira ve Black Basta fidye yazılımlarını dağıtmak için kullanıldı.
Federal kurumların savunmasız sistemleri güvence altına almak için üç haftası var
Microsoft’un raporunun ardından CISA, güvenlik açığını ‘Bilinen İstismar Edilen Güvenlik Açıkları’ kataloğuna ekleyerek, tehdit aktörlerinin saldırılarda bunu kullandığına dair bir uyarıda bulundu.
Kasım 2021’de yayınlanan bağlayıcı operasyonel direktife (BOD 22-01) göre, Federal Sivil Yürütme Organları (FCEB) kurumlarının, sistemlerini devam eden CVE-2024-37085 istismarına karşı güvence altına almak için 20 Ağustos’a kadar üç hafta süreleri bulunuyor.
Bu yönerge yalnızca federal kurumları ilgilendirse de siber güvenlik kurumu, tüm kuruluşları bu açığı gidermeye ve ağlarını hedef alabilecek fidye yazılımı saldırılarını engellemeye öncelik vermeye şiddetle çağırdı.
CISA, “Bu tür güvenlik açıkları kötü niyetli siber aktörler için sık görülen saldırı vektörleridir ve federal işletmeler için önemli riskler oluştururlar” uyarısında bulundu.
Yıllardır fidye yazılımı operasyonları, özellikle kurbanların hassas verileri depolamak ve kritik uygulamaları barındırmak için kullanmaya başlamasının ardından, kurbanlarının ESXi sanal makinelerini (VM) hedef almaya odaklandı.
Ancak şimdiye kadar, kurbanların hipervizörlerine daha hızlı erişim sağlamalarına olanak sağlayabilecek olmasına rağmen, ESXi’deki belirli güvenlik açıklarını (örneğin CVE-2024-37085) kullanmak yerine, esas olarak sanal makineleri şifrelemek için tasarlanmış Linux dolaplarını kullandılar.