CISA, vahşi ortamda yararlanılan güvenlik açıkları kataloğuna VMware’in Cloud Foundation’ında kritik düzeyde bir güvenlik açığı ekledi.
Açık (CVE-2021-39144 olarak izlenir), savunmasız VMware ürünleri tarafından kullanılan XStream açık kaynak kitaplığında bulundu ve VMware tarafından neredeyse maksimum önem derecesi olan 9.8/10 olarak belirlendi.
Kimliği doğrulanmamış tehdit aktörleri, yama uygulanmamış cihazlarda kök ayrıcalıklarıyla uzaktan rasgele kod yürütmek için kullanıcı etkileşimine ihtiyaç duymayacak düşük karmaşıklıktaki saldırılarda bu açıktan yararlanabilir.
VMware, “VMware Cloud Foundation’da (NSX-V) giriş serileştirme için XStream’den yararlanan kimliği doğrulanmamış bir uç nokta nedeniyle, kötü niyetli bir aktör, cihazda ‘root’ bağlamında uzaktan kod yürütme elde edebilir.”
VMware, MDSec’ten Sina Kheirkhah ve Source Incite’tan Steven Seeley tarafından 25 Ekim’de bildirilen CVE-2021-39144 kusurunu gidermek için güvenlik güncellemeleri yayınladı. Sorunun ciddiyeti nedeniyle, VMware ayrıca bazı kullanım ömrü sona ermiş ürünler için yamalar yayınladı.
CVE-2021-39144 yamalarının yayınlandığı gün, Kheirkhah ayrıca teknik ayrıntılar ve kavram kanıtı (PoC) yararlanma kodunu içeren bir blog gönderisi yayınladı.
Aralık başından beri aktif olarak sömürülüyor
CISA’nın CVE-2021-39144 güvenlik açığını Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna dahil etme kararı, VMware’in açıktan yararlanıldığına dair onayını takip ediyor.
Şirket, Perşembe günü orijinal danışma belgesine yaptığı güncellemede, “VMware’in CVE-2021-39144’ü içeren vahşi kullanım faaliyetlerine ilişkin raporlar aldığı bilgisini içeren güncellenmiş danışma belgesi,” dedi.
Bu, siber güvenlik firması Wallarm’ın Pazartesi günü CVE-2021-39144 istismarının güvenlik güncellemelerinin yayınlanmasından sadece birkaç hafta sonra başladığını ve en azından Aralık 2022’nin başından beri devam ettiğini açıklamasından sonra geldi.
Wallarm, “Wallarm Detect ekibi her gün düzinelerce güvenlik açığını bulup analiz ediyor ve bu özellikle ilginç çünkü son 2 ayda 40.000’den fazla kez kullanıldı. Aktif yararlanma 2022-Aralık-08’de başladı ve devam ediyor” dedi.
“Başarılı bir şekilde istismar edilirse, bu güvenlik açıklarının etkisi yıkıcı olabilir ve saldırganların rasgele kod yürütmesine, verileri çalmasına ve/veya ağ altyapısının kontrolünü ele geçirmesine izin verebilir.”
Kusurun KEV kataloğuna eklenmesiyle birlikte CISA, ABD federal kurumlarına, ağlarını hedef alabilecek saldırıları engellemek için 31 Mart’a kadar üç hafta içinde sistemlerini saldırılara karşı koruma talimatı verdi.
CISA’nın emrinin arkasındaki Kasım 2021 bağlayıcı operasyonel yönergesi (BOD 22-01) yalnızca ABD federal kurumları için geçerli olsa da, siber güvenlik kurumu ayrıca tüm kuruluşları sunucularını devam eden saldırılardan korumak için bu hatayı düzeltmeye çağırdı.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor” dedi.