VMware’in ESXi hipervizör teknolojisindeki saldırganların geçen hafta aniden topluca yararlanmaya başladığı yaklaşık iki yıllık bir güvenlik açığına karşı kuruluşlarını güvence altına almak için çalışan güvenlik ekipleri, yalnızca İnternet erişimi olanlara değil, ortamdaki tüm ESXi ana bilgisayarlarına dikkat etmelidir.
Güvenlik satıcısı Bitdefender’ın tehdidi analiz ettikten ve saldırganların onu birçok şekilde istismar edebileceğini keşfettikten sonra tavsiyesi buydu.
İki Yaşındaki Kusur
Söz konusu güvenlik açığı, CVE-2021-21974, VMware’in ESXi’de Açık Hizmet Konum Protokolü (OpenSLP) adı verilen bir hizmet sağlama protokolünü uygulamasında mevcuttur. Güvenlik açığı, kimliği doğrulanmamış saldırganlara, etkilenen sistemlerde herhangi bir kullanıcı etkileşimi olmadan kötü amaçlı kodları uzaktan yürütme yeteneği sağlar.
VMware, Şubat 2021’de güvenlik açığını açıkladı ve aynı zamanda bunun için bir yama yayınladı. O zamandan beri, saldırganlar onu yoğun bir şekilde hedef aldı ve CVE-2021-29174’ü 2021 ve 2022’de en çok yararlanılan güvenlik açıklarından biri haline getirdi. 3 Şubat’ta Fransa’nın bilgisayar acil durum müdahale ekibi, CVE-2021-21974’ü fidye yazılımı dağıtmak için kullanan kötü kişiler hakkında uyarıda bulundu. ESXi Args fidye yazılımı olarak adlandırılan varyant, dünya çapındaki ESXi sunucularında.
Saldırıların yaygın doğası, ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatını (CISA), ESXiArgs kurbanlarının sistemlerini kurtarmak için kullanabilecekleri bir kurtarma komut dosyası yayınlamaya sevk etti.
Bitdefender’ın teknik çözümler direktörü Martin Zugec, ilk uzlaşma vektörü bilinmemekle birlikte, popüler bir teorinin bunun İnternet’e açık 427 numaralı bağlantı noktası üzerinden doğrudan sömürü yoluyla olduğu yönünde olduğunu söylüyor. 427 numaralı bağlantı noktasına.
Zugec, bu önlemin bir düşmanı yavaşlatabilmesine rağmen, kusurdan kaynaklanan riski tamamen ortadan kaldırmadığını çünkü saldırganların güvenlik açığından başka şekillerde de yararlanabileceğini söylüyor. Örneğin, bir kuruluş 427 numaralı bağlantı noktasını engellerse, bir saldırgan mevcut herhangi bir güvenlik açığı aracılığıyla bir ESXi ana bilgisayarında çalışan sanal makinelerden birini tehlikeye atabilir.
Daha sonra, OpenSLP’deki güvenlik açığından yararlanmak ve ana bilgisayara kök erişim elde etmek için güvenliği ihlal edilmiş sanal makineden kaçabilirler, diyor.
Kusurdan Yararlanmanın Diğer Yolları
Zugec, “Tehdit aktörleri, ister Linux ister Windows tabanlı olsun, bir sanal makineyi tehlikeye atmak için mevcut herhangi bir güvenlik açığını kullanabilir” diyor.
Bir tehdit aktörü, Dark Web üzerinden daha önce güvenliği ihlal edilmiş bir sanal makineye erişimi nispeten kolay bir şekilde satın alabilir ve barındırma hipervizörüne karşı OpenSLP uzaktan kod çalıştırmayı deneyebilir, diyor.
Zugec, “Başarılı olursa, tehdit aktörü yalnızca hipervizör ana bilgisayarına değil, aynı sunucuda çalışan diğer tüm makinelere de erişebilir” diyor. “Bu durumda OpenSLP istismarı, bir tehdit aktörünün erişimini artırmasına ve yanal olarak diğer – potansiyel olarak daha değerli – makinelere geçmesine olanak tanır.”
Zugec, Bitdefender’ın şu ana kadar saldırganların VMware ESXi güvenlik açığını bu şekilde kullandığına dair bir kanıt görmediğini söylüyor. Ancak, 427 numaralı bağlantı noktası üzerinden doğrudan yararlanmaya odaklanan Bitdefender, bu güvenlik açığından yararlanmanın diğer yöntemleri konusunda halkı uyarmak istediğini söylüyor. VMware, 427 numaralı bağlantı noktasına erişimi engellemenin yanı sıra, CVE-2021-21974’e yama yapamayan kuruluşların mümkün olduğunda SLP’yi devre dışı bırakmasını da tavsiye etti.
WannaCry’ın Gölgeleri
Bitdefender, CVE-2021-21974’ü hedef alan en son saldırılara ilişkin analizinin, bunların arkasındaki tehdit aktörlerinin fırsatçı olduğunu ve çok karmaşık olmadığını gösterdiğini söyledi. Savunmasız sistemler için yapılan ilk taramalardan fidye yazılımı dağıtımına kadar saldırıların birçoğu doğası gereği tamamen otomatik görünüyor.
Zugec, “Bunu WannaCry ile karşılaştırabiliriz” diyor. “Bu saldırılar çok çeşitli makinelere ulaşabilse de, etkisi sınırlı kalıyor.”
Ancak daha sofistike tehdit aktörleri, çok daha büyük bir operasyon yürütmek için ESXi’deki kusuru kullanacaklarını söylüyor. Örneğin, ilk erişim simsarları, uzak bir Web kabuğu dağıtabilir ve SLP hizmetini devre dışı bırakabilir, böylece diğer tehdit aktörleri aynı kusurdan yararlanamaz. Daha sonra erişimlerinden para kazanmak için en iyi fırsatı bekleyebilirler. Potansiyel seçenekler arasında veri hırsızlığı, gözetleme ve kripto hırsızlığı yer alabilir.
VMware güvenlik açığından yararlanan bir siber saldırı riskini tam olarak ele almak için, VMware ve diğerleri gibi Bitdefender, kuruluşların yamayı bunun için hemen uygulamasını önerir.