VMware ESXi hipervizörlerindeki iki yıllık bir yığın taşması güvenlik açığı, ciddi bir olaya dönüşme potansiyeline sahip bir olayda ayrım gözetmeksizin yama uygulanmamış sistemleri hedef alan bir fidye yazılımı operatörünün dikkatini çekmiş gibi görünüyor ve şimdiden 300’den fazla kurban talep etmiş olabiliruyarılara göre.
CVE-2021-21974 olarak izlenen güvenlik açığı, VMware ESXi’nin hizmet konumu protokolü (SLP) mesajlarını işleme biçiminde mevcuttur ve kullanıcı tarafından sağlanan verilerin yığın tabanlı bir ara belleğe kopyalanmadan önce uzunluğunun doğrulanmamasından kaynaklanmaktadır. Tedavi edilmezse, kimliği doğrulanmamış bir saldırganın keyfi olarak yürütmesine izin verir.
Fransa’nın ulusal Bilgisayar acil müdahale ekibi (CERT) CERT-FR, 4-5 Şubat hafta sonundan hemen önce yayınlanan bir uyarıda şunları söyledi: “3 Şubat 2023’te CERT-FR, VMware ESXi hipervizörlerini hedef alan saldırı kampanyalarından haberdar oldu. onlara fidye yazılımı dağıtmanın amacı. Bu saldırı kampanyaları, 23 Şubat 2021’den beri bir yamanın mevcut olduğu CVE-2021-21974 güvenlik açığından yararlanıyor gibi görünüyor.
“CERT-FR, yayıncı tarafından önerilen ve güncellenmemiş ESXi hipervizörlerinde SLP hizmetinin devre dışı bırakılmasından oluşan geçici çözümün gecikmeden uygulanmasını önerir. CERT-FR, ESXi hipervizörü için mevcut olan tüm yamaların uygulanmasını şiddetle tavsiye ediyor.”
Bununla birlikte, CERT-FR, bir saldırganın güvenlik açığından kötü amaçlı kod bırakmak için zaten yararlanmış olabileceğinden, bir yama uygulamanın yeterli olmayabileceğini de sözlerine ekledi, bu nedenle savunucuların aynı zamanda tam bir sistem taraması yapması gerekir.
CERT-FR tarafından gözlemlenen kampanyada saldırgan tarafından hedef alınan sistemler, ESXi hipervizörünün 6.x’ten 6.7’ye kadar olan sürümleridir. Ancak, ESXi70U1c-17325551’den önceki ESXi 7.x; ESXi670-202102401-SG’den önceki ESXi 6.7.x; ve ESXi650-202102101-S’den önceki ESXi 6.5.x’in de savunmasız olduğu bilinmektedir.
Armis’in Avrupa siber risk yetkilisi Andy Norton şunları söyledi: “Devam eden VMware ESXi Ransomware saldırısı, büyük bir küresel olaydır. Maruz kalan varlıklar için potansiyel olumsuz etki yüksektir ve tüm VMWare ESXi kullanıcılarının derhal harekete geçmesi şiddetle tavsiye edilir.
“Etkilenen varlıkların çoğu Avrupa’ya yayılmış durumda. Spekülasyonlar, bu davada nihai olarak kötü aktörlerin kimler olduğunu hâlâ çevreliyor… ancak iyi haber şu ki, güvenlik açığı için aktif bir düzeltme var.”
VMware’in ESXI hatlarını etkileyen tüm güvenlik açıklarında olduğu gibi, CVE-2021-21974, erişmek için kullanılabileceği diğer uygulama ve sistemlerin çok büyük hacmi nedeniyle ortalamanın üzerinde bir kesinti potansiyeli taşır. 2021 tavsiyesini kaçıranlar veya yama yapmamaya karar verenler artık bunu hatasız yapmalıdır.
Söz konusu fidye yazılımı, ESXIArgs olarak adlandırılan yeni bir tür gibi görünüyor ve bazı erken analizlere göre, sızdırılmış Babuk kaynak koduna dayanıyor olabilir. OVHCloud’da kampanyayı izleyen analistler, bazı durumlarda ESXIArgs’ın kurbanlarının dosyalarını şifreleme sürecinin kısmen başarısız olduğunun görüldüğünü, yani bazı durumlarda verileri kurtarmanın mümkün olabileceğini söyledi.
Barracuda Networks’te uygulama güvenliği için EMEA danışmanlık çözümleri mühendisi olan Stefan van der Wal şu yorumu yaptı: “Bu, önemli yazılım altyapısı sistemlerini olabildiğince çabuk güncellemenin ne kadar önemli olduğunu gösteriyor. Kuruluşların yazılımları güncellemesi kolay değildir. Örneğin, bu yama söz konusu olduğunda, kuruluşların BT altyapılarının önemli kısımlarını geçici olarak devre dışı bırakması gerekir. Ancak bununla yüzleşmek, potansiyel olarak zarar verici bir saldırı tarafından vurulmaktan çok daha iyidir.
“Sanal makineler, genellikle iş açısından kritik hizmetleri veya işlevleri çalıştırdıkları için fidye yazılımları için çekici hedefler olabilir ve başarılı bir saldırı, kapsamlı kesintiye neden olabilir. Bir sanal sistemin yönetim konsoluna erişimin güvenli olduğundan ve örneğin şirket ağındaki güvenliği ihlal edilmiş bir hesap aracılığıyla kolayca erişilemediğinden emin olmak özellikle önemlidir.
“Sanal altyapıyı tamamen korumak için, ideal olarak sıfır güven yaklaşımının bir parçası olarak onu iş ağının geri kalanından ayırmak önemlidir. ESXi’yi dağıtan kuruluşlar, henüz yapmamışlarsa, derhal en son sürüme güncelleme yapmalı ve tehlikeye girmediklerinden emin olmak için sunucularda tam bir güvenlik taraması yapmalıdır,” dedi van der Wal.