Microsoft araştırmacıları, birden fazla fidye yazılımı operatörünün, etki alanına katılmış ESXi sunucuları üzerinde tam yönetim kontrolü elde etmek için ESXi hipervizörlerinde yakın zamanda düzeltilen bir güvenlik açığını kullandığını gözlemledi. CVE-2024-37085 olarak izlenen bu kusur, bu tehdit aktörlerine dosya sistemlerini şifreleme ve kritik sanal makineleri bozma yeteneği veriyor.
ESXi hipervizörleri, fiziksel sunuculara doğrudan yüklenen çıplak metal hipervizörler, ağ operasyonları için gerekli olan sanal makineleri barındırır. Bu hipervizörlerde yönetimsel izinler elde etmek, fidye yazılımı operatörlerine operasyonları durdurma ve potansiyel olarak verileri sızdırma kaldıracı sağlar.
Fidye Yazılımı Çeteleri VMware ESXi Hatasını Nasıl İstismar Ediyor?
Güvenlik açığı, “ESX Admins” adlı bir etki alanı grubunda yer alır. Varsayılan olarak, bu grubun herhangi bir üyesi, uygun doğrulama olmadan ESXi hipervizörüne tam yönetim erişimi alır. Bu grup varsayılan olarak Active Directory’de mevcut değildir, ancak ESXi hipervizörleri oluşturulduğunda bunu meşru bir yönetici grubu olarak ele alır.
Microsoft bu açığı VMware’e Koordineli Güvenlik Açığı Açıklaması (CVD) aracılığıyla açıkladı ve VMware’in bir güvenlik güncellemesi yayınlamasına yol açtı. Microsoft, ESXi sunucu yöneticilerine sistemlerini korumak için bu güncellemeleri derhal uygulamalarını tavsiye ediyor.
Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest gibi fidye yazılımı operatörleri bu tekniği çoktan kullandı. Bu operatörler, Akira ve Black Basta gibi fidye yazılımlarını çok sayıda saldırıda konuşlandırdı, bu güvenlik açığını kullanarak “ESX Admins” grubunu oluşturdu ve kendilerini gruba ekledi, böylece yükseltilmiş ayrıcalıklar elde etti.
Daha ileri analizler bu güvenlik açığından faydalanmak için birden fazla yöntem olduğunu ortaya çıkardı. Tehdit aktörleri, kontrolü sürdürmek için “ESX Admins” grubunu oluşturabilir, mevcut grupları yeniden adlandırabilir veya ayrıcalık yenilemelerini manipüle edebilir. Yöneticiler yönetim için farklı gruplar atadığında bile, hipervizör “ESX Admins” grubunu tanıyabilir ve bu da sürekli faydalanmaya olanak tanıyabilir.
Bir olayda, Storm-0506 bu açığı kullanarak Kuzey Amerika’daki bir mühendislik firmasına karşı Black Basta fidye yazılımını dağıttı. Saldırganlar önce bir Qakbot enfeksiyonu yoluyla erişim elde etti, ardından başka bir Windows güvenlik açığını (CVE-2023-28252) kullanarak ayrıcalıkları artırdı. Cobalt Strike ve Pypykatz gibi araçlarla etki alanı yönetici kimlik bilgilerini çaldılar, ağda yatay olarak hareket ettiler ve ESXi hipervizörlerini kontrol etmek için “ESX Yöneticileri” grubunu oluşturdular.
Bu ihlal, ESXi dosya sisteminin şifrelenmesine ve barındırılan sanal makinelerin bozulmasına neden oldu. Saldırganlar ayrıca PsExec ile ESXi olmayan cihazları hedef alsa da, Microsoft Defender Antivirus, korunan cihazlardaki bu girişimleri engelledi.
ESXi Sunucularına Yönelik Bu Saldırılar Nasıl Azaltılır
Hipervizörler, aşağıdaki faktörlerden dolayı son birkaç yıldır fidye yazılımı operatörleri için tercih edilen hedef haline geldi:
- Birçok güvenlik ürünü, ESXi hipervizörü için sınırlı görünürlüğe ve korumaya sahiptir.
- Bir ESXi hypervisor dosya sistemini şifrelemek, barındırılan sanal makineler etkilendiğinden tek tıklamayla toplu şifrelemeye olanak tanır. Bu, fidye yazılımı operatörlerine, eriştikleri her cihazda yanal hareket ve kimlik bilgisi hırsızlığında daha fazla zaman ve karmaşıklık sağlayabilir.
Bu tür saldırıları azaltmak için Microsoft, kuruluşların çeşitli koruyucu önlemleri izlemesini öneriyor. Temel adımlar şunlardır:
- Güvenlik Güncelleştirmelerini Yükleyin: VMware’in en son güvenlik güncellemelerini tüm etki alanına katılmış ESXi hipervizörlerine uygulayın. Güncellemeler mümkün değilse, “ESX Admins” grubunu doğrulayın ve güçlendirin, ESXi ayarları üzerinden erişimi reddedin veya yönetici grubunu değiştirin.
- Sertifika Hijyeni: Çok faktörlü kimlik doğrulamayı (MFA) uygulayın, parolasız yöntemleri benimseyin ve ayrıcalıklı hesapları normal üretkenlik hesaplarından ayırın. Bu, tehdit aktörleri tarafından ayrıcalık yükseltme riskini en aza indirir.
- İzle ve Algıla: Yeni grup adları için genişletilmiş algılama ve yanıt (XDR) veya güvenlik bilgisi ve olay yönetimi (SIEM) sistemlerinde özel algılamaları uygulayın. ESXi günlüklerinin şüpheli etkinlikleri izlemek için bir SIEM’e gönderildiğinden emin olun.
- Kritik Varlıkları Koruyun: ESXi hypervisor’ları ve vCenter’lar gibi kritik varlıkları düzenli olarak güncelleyin ve izleyin. Olası kesintileri azaltmak için sağlam yedekleme ve kurtarma planlarının yerinde olduğundan emin olun.
Microsoft, araştırmacılar, satıcılar ve güvenlik topluluğu arasındaki iş birliğinin önemini vurgulamaya devam ediyor. İstihbaratı paylaşmak ve savunmaları geliştirmek, kullanıcıları ve kuruluşları gelişen tehditlerden korumak için hayati öneme sahiptir.