Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2025-41244’ü Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi. Bu yerel ayrıcalık yükseltme kusuru Broadcom’un VMware Aria Operasyonlarını ve VMware Araçlarını etkiliyor ve yaygın kullanımdaki aktif istismarın kanıtlarını sunuyor.
Güvenlik araştırmacıları ve yetkilileri, potansiyel fidye yazılımlarını ve sanallaştırılmış altyapıları tehlikeye atabilecek diğer saldırıları önlemek için derhal yama uygulanmasını talep ediyor.
CVSSv3 temel puanı 7,8 olan ve Önemli olarak derecelendirilen güvenlik açığı, güvenli olmayan eylem sorunuyla tanımlanan bir ayrıcalıktan kaynaklanıyor. Bir sanal makineye (VM) yönetici olmayan erişime sahip kötü niyetli bir yerel aktörün ayrıcalıklarını aynı VM üzerinde root yetkisine yükseltmesine olanak tanır.
Bu, özellikle VMware Tools’un Yazılım Tanımlı Yönetim Platformu (SDMP) etkinleştirilmiş Aria Operations tarafından yüklendiği ve yönetildiği kurulumlarda risklidir.
Broadcom, şüpheli istismarın halihazırda gerçekleştiğini doğrulayarak, bulut ve şirket içi sanallaştırma için VMware’e güvenen kuruluşlar için endişeleri artırdı.
CVE-2025-41244 özünde VMware Tools ve Aria Operations’taki uygunsuz ayrıcalık işleme kusurlarından yararlanıyor. Güvenliği ihlal edilmiş bir VM’deki düşük ayrıcalıklı bir kullanıcı, tam yönetim kontrolü elde etmek için bu kusurdan yararlanabilir ve potansiyel olarak daha geniş ağ erişimine veya veri sızıntısına yönelebilir.
Saldırı yerel erişim gerektiriyor; bu, kimlik avı veya yama uygulanmamış uç noktalar gibi ilk dayanak noktalarının giriş noktası olarak kullanılabileceği anlamına geliyor.
Broadcom’un analizi, sorunu CWE-267’ye (Güvenli Olmayan Eylemlerle Tanımlanan Ayrıcalık) bağlayarak, zararsız görünen yapılandırmaların nasıl saldırı yüzeyleri haline gelebileceğini vurguluyor. Hiçbir geçici çözüm mevcut değildir, bu da güncellemelerin zamanında yapılmasını zorunlu hale getirir.
Etkilenen bileşenler arasında 12.5.4’ten önceki VMware Tools sürümleri ve belirli Aria Operations sürümleri yer almaktadır. Linux kullanıcıları için açık sanal makine güncellemeleri satıcılar aracılığıyla dağıtılacak, Windows 32 bit sistemleri ise 12.5.4 paketinin bir parçası olarak Araçlar 12.4.9 kapsamına girecek.
| CVE Kimliği | Etkilenen Ürünler | CVSSv3 Puanı | Darbe | Sabit Versiyonlar | Kullanım Durumu |
|---|---|---|---|---|---|
| CVE-2025-41244 | VMware Aria Operasyonları, VMware Tools | 7.8 (Önemli) | VM’de root’a yerel ayrıcalık yükseltme | Araçlar 12.5.4; Aria Operations matris başına yamalar; satıcılar aracılığıyla açık sanal makine araçları | Vahşi doğada istismar şüphesi; CISA KEV kataloğuna eklendi |
Azaltmalar
CISA, satıcı yamalarının derhal uygulanmasını ve federal bulut hizmetleri için Bağlayıcı Operasyonel Direktif (BOD) 22-01’in takip edilmesini önerir. Yama uygulayamayan kuruluşlar, savunmasız ürünlerin kullanımını durdurmayı düşünmelidir.
Bu olay, günümüzün hibrit BT ortamlarının çoğuna güç veren sanallaştırma platformlarının ısrarla hedef alındığının altını çiziyor.
Broadcom, kusuru keşfedip bildirdiği için NVISO’dan Maxime Thiebaut’a teşekkür ederek işbirliğine dayalı güvenlik araştırmasının rolünü vurguladı.
Fidye yazılımı kampanyaları bu tür güvenlik açıklarından giderek daha fazla yararlandıkça, kuruluşların güvenlik açığı yönetimine öncelik vermesi gerekiyor. Kötüye kullanımın doğrulanmasıyla birlikte, yama yapılmamış sistemler birincil hedef olmaya devam ediyor, eylemi geciktiren işlemler ciddi operasyonel kesintilere yol açabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
