Microsoft araştırmacıları, VMware’in ESXi hipervizörlerinde kritik bir güvenlik açığı buldu. Fidye yazılımı operatörleri, sistemlere saldırmak için bu sorunu kullanıyor.
CVE-2024-37085 numaralı bu güvenlik açığı, tehdit aktörlerinin etki alanına katılmış ESXi hipervizörlerinde tam yönetim izinleri elde etmesine olanak tanıyarak, dünya çapındaki kuruluşlar için ciddi bir risk oluşturuyor.
VMware ESXi, doğrudan fiziksel bir sunucuya yüklenen ve sunucunun kaynaklarını kontrol etmenizi ve yönetmenizi sağlayan bir hipervizördür. Bir ağ içinde önemli sanal makineleri (VM’ler) barındırmak için kullanılır.
CVE-2024-37085 güvenlik açığı, varsayılan olarak uygun doğrulama yapılmadan ESXi hipervizörlerine tam yönetici erişimi verilen “ESX Admins” adlı bir etki alanı grubu etrafında dönüyor.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Bu kusur, gruplar oluşturabilen veya yeniden adlandırabilen herhangi bir etki alanı kullanıcısının, kendilerini veya diğer kullanıcıları “ESX Admins” grubuna ekleyerek ayrıcalıklarını artırmasına ve böylece ESXi hipervizörü üzerinde tam kontrole sahip olmasına olanak tanıyor.
Microsoft araştırmacıları, güvenlik açığından yararlanmak için üç yöntem belirledi:
- “ESX Admins” grubunu etki alanına ekleme ve bir kullanıcı ekleme
- Mevcut bir etki alanı grubunun adını “ESX Admins” olarak değiştirme
- ESXi hipervizörünün ayrıcalık yenileme mekanizmasının istismar edilmesi
Başarılı bir istismar, tehdit aktörlerinin hipervizörün dosya sistemini şifrelemesine ve barındırılan sunucuların işlevselliğini potansiyel olarak bozmasına olanak tanır. Ek olarak, saldırganlar VM’lere erişebilir, verileri sızdırabilir ve ağ içinde yanal olarak hareket edebilir.
Vahşi Doğada Sömürü
Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest gibi grupların da aralarında bulunduğu fidye yazılımı operatörlerinin bu güvenlik açığını çok sayıda saldırıda istismar ettiği gözlemlendi.
Bu gruplar, ESXi hipervizörlerinin dosya sistemlerini şifrelemek için Akira ve Black Basta gibi fidye yazılımı çeşitlerini konuşlandırdı; barındırılan sanal makineleri çalışmaz hale getirdi ve potansiyel olarak verileri dışarı sızdırdı veya ağ içinde yatay olarak hareket ettirdi.
Özellikle dikkat çeken bir saldırı, Black Basta fidye yazılımını dağıtan Storm-0506’yı içeriyordu. Saldırganlar başlangıçta bir Qakbot enfeksiyonu yoluyla erişim elde etti ve ayrıcalıklarını yükseltmek için bir Windows güvenlik açığından (CVE-2023-28252) yararlandı.
Daha sonra kimlik bilgilerini çalmak ve ağ içinde yatay olarak hareket etmek için Cobalt Strike ve Pypykatz gibi araçlar kullandılar, sonunda “ESX Admins” grubunu oluşturdular ve buna bir kullanıcı eklediler. Bu, ESXi dosya sisteminin şifrelenmesine ve barındırılan sanal makinelerin bozulmasına yol açtı.
Azaltma ve Koruma
Bu bulgulara yanıt olarak VMware, CVE-2024-37085’i ele alan bir güvenlik güncelleştirmesi yayınladı. Microsoft, etki alanına katılmış ESXi hipervizörleri kullanan tüm kuruluşların bu güncelleştirmeyi hemen uygulamasını öneriyor. Ek olarak, yöneticiler şunları yapmalıdır:
- Grup Varlığını Doğrula: “ESX Admins” grubunun mevcut olduğundan ve düzgün şekilde güvence altına alındığından emin olun.
- Giriş reddedildi: Bu gruba erişimi manuel olarak engelleyin veya ESXi hipervizöründeki yönetim grubu ayarlarını değiştirin.
- Kimlik Bilgisi Hijyeni:Çok faktörlü kimlik doğrulama (MFA) ile son derece ayrıcalıklı hesapları koruyun ve ayrıcalıklı hesapları üretkenlik hesaplarından ayırın.
- Kritik Varlık Durumunu İyileştirin:ESXi hipervizörleri gibi kritik varlıkları en son güvenlik güncellemeleri, izleme prosedürleri ve yedekleme planlarıyla belirleyin ve güvenliğini sağlayın.
Gelişmiş tehditlere karşı korunmak için kuruluşların uyanık olmaları, sistemlerini güncellemeleri ve sıkı güvenlik uygulamalarını takip etmeleri gerekiyor.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo