Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Broadcom’un VMware vCenter Sunucusunu etkileyen kritik bir güvenlik açığını Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna ekledi.
Bu ekleme, CVE-2024-37079’un aktif olarak istismarının yaygın olarak tespit edildiğini ve sanallaştırma yönetimi için vCenter’a güvenen kurumsal ortamlar için önemli bir risk oluşturduğunu doğrulamaktadır.
İlk olarak Broadcom tarafından açıklanan güvenlik açığı, DCERPC (Dağıtılmış Bilgi İşlem Ortamı / Uzaktan Prosedür Çağrıları) protokolünün uygulanmasında yer alan sınır dışı yazma sorunu olarak sınıflandırılıyor.
Başarılı bir şekilde yararlanma, vCenter Sunucusuna ağ erişimi olan kötü niyetli bir aktörün uzaktan kod yürütmesine ve potansiyel olarak etkilenen sistem üzerinde tam kontrol elde etmesine olanak tanır.
CVE-2024-37079’un Teknik Analizi
Bu kusur, DCERPC protokolü uygulamasındaki hatalı bellek kullanımından kaynaklanmaktadır. Kimliği doğrulanmamış bir saldırgan, vCenter Sunucusuna özel hazırlanmış ağ paketleri göndererek güvenlik açığını tetikleyebilir.
VCenter Server, VMware vSphere ortamlarını yönetmeye yönelik merkezi yönetim yardımcı programı olduğundan, buradaki uzlaşma genellikle saldırganlara sanallaştırılmış altyapının tamamında yanal hareket yetenekleri sağlar.
Güvenlik açığı CWE-787 (Sınır Dışında Yazma) ile ilişkili olsa da, kullanıcı etkileşimi gerektirmediği için özellikle tehlikelidir. Saldırı vektörü kesinlikle ağ tabanlıdır.
CISA’nın mevcut verileri “Fidye Yazılımı Kampanyalarında Kullanıldığı Bilinen” durumunu “Bilinmeyen” olarak listelese de, kusurun doğası onu ilk erişim aracıları ve fidye yazılımı grupları için oldukça çekici bir giriş noktası haline getiriyor.
CISA, 23 Ocak 2026’da CVE-2024-37079’u KEV kataloğuna ekleyerek, Federal Sivil Yürütme Organı (FCEB) kurumlarının 13 Şubat 2026’ya kadar bu güvenlik açığını gidermesini zorunlu kıldı.
Ajans, yalnızca federal kuruluşlara değil, tüm kuruluşlara bu kusurun derhal düzeltilmesine öncelik vermelerini tavsiye ediyor. Önerilen eylem, satıcı tarafından sağlanan azaltıcı önlemlerin uygulanması veya azaltıcı önlemlerin mevcut olmaması durumunda ürünün kullanımına son verilmesidir.
Broadcom, bu sorunu çözmek için vCenter Sunucusu için güncellemeler yayınladı ve yöneticilerin en son güvenli sürümlere yükseltmeleri isteniyor.
Sanallaştırma altyapısını bu tehdide karşı güvence altına almak için güvenlik ekiplerinin aşağıdaki adımları atması gerekir:
- Hemen Yama Yapın: Broadcom’un güvenlik danışma belgesinde sağlanan ilgili yamaları uygulayın.
- Ağ Segmentasyonu: VCenter Server arayüzlerinin genel internete açık olmadığından emin olun. vCenter yönetim arayüzüne erişimi yalnızca güvenilir yönetim ağlarıyla kısıtlayın.
- Trafiği İzleme: VCenter sunucularına yönlendirilen anormal DCERPC trafiğini tespit etmek için ağ izlemeyi uygulayın.
- Günlükleri İncele: Yönetim arayüzüne yetkisiz bağlanma girişimleri için erişim günlüklerini denetleyin.
Son tarihin Şubat ortası olarak belirlenmesiyle kuruluşların, otomatikleştirilmiş istismar araçları için standart bir hedef haline gelmeden önce bu kritik riske karşı önlem almaları için sınırlı bir pencereleri var.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
