Fidye yazılımı operatörleri, Active Directory etki alanına katılan VMware ESXi hipervizörlerini etkileyen bir kimlik doğrulama atlama güvenlik açığı olan CVE-2024-37085’i kullanarak bunlara tam yönetimsel erişim elde ediyor ve dosya sistemlerini şifreliyor.
VMware’in sahibi Broadcom, 25 Haziran 2024’te CVE-2024-37085 için bir düzeltme yayınladı ve bunu işaretleyen Microsoft araştırmacılarına teşekkür etti, ancak o dönemde sıfırıncı gün olan bu güvenlik açığının aktif olarak istismar edildiğinden bahsetmedi.
CVE-2024-37085’i istismar eden saldırganlar
Microsoft’un tehdit analistleri, “ESXi, doğrudan fiziksel bir sunucuya kurulan ve altta yatan kaynaklara doğrudan erişim ve kontrol sağlayan çıplak metal bir hipervizördür. ESXi hipervizörleri, bir ağda kritik sunucuları içerebilen sanal makineleri barındırır” şeklinde açıkladı.
Fidye yazılımı operatörleri, VMware ESXi sanal makinelerini şifrelemek için Akira, Black Basta, Babuk, Lockbit ve diğer şifreleyicilerin özel Linux sürümlerini kullanıyorlar; ancak CVE-2024-37085 gibi ESXi güvenlik açıklarından yararlanmak, birden fazla sanal makinenin (VM) tek seferde kolayca şifrelenmesi anlamına geliyor.
Microsoft analistlerine göre Storm-0506, Storm-1175, Manatee Tempest ve Octo Tempest gibi fidye yazılımı operatörleri, etki alanı yöneticilerinin kimlik bilgilerini ele geçirerek AD etki alanı denetleyicilerine erişim sağladıktan sonra CVE-2024-37085’i istismar ediyor.
Daha sonra etki alanında “ESX Admins” adında bir grup oluşturup bu gruba bir kullanıcı eklerlerdi; bu da otomatik olarak o kullanıcıya (yani tehdit aktörü) ESXi hipervizöründe tam yönetici erişimi verirdi.
“Bu grup Active Directory’de yerleşik bir grup değildir ve varsayılan olarak mevcut değildir. ESXi hipervizörleri, sunucu bir etki alanına katıldığında böyle bir grubun var olduğunu doğrulamaz ve bu adı taşıyan bir grubun üyelerine, grup başlangıçta mevcut olmasa bile, tam yönetici erişimiyle davranır. Ayrıca, gruptaki üyelik, güvenlik tanımlayıcısı (SID) tarafından değil, adla belirlenir” diye belirtti Microsoft araştırmacıları.
Daha sonra aynı şeyin etki alanındaki herhangi bir grubun adını “ESX Admins” olarak değiştirip gruba bir kullanıcı ekleyerek veya mevcut bir grup üyesini kullanarak da yapılabileceğini keşfettiler.
Ne yapalım?
ESXi hipervizörlerine tam yönetici erişimi, saldırganların dosya sistemini şifrelemeden önce barındırılan sanal makinelere erişebileceği ve bunlardan veri sızdırabileceği anlamına gelir.
CVE-2024-37085, ESXi 8.0 Update 3 ve VMware Cloud Foundation 5.2’de düzeltildi. ESXi 7.0 ve VMware Cloud Foundation v4.x’te düzeltilmeyecek, ancak bir geçici çözüm mevcut.
Yöneticilere, kurulumlarını mümkün olan en kısa sürede yükseltmeleri ve ESX Admins grubunda şüpheli değişiklikler olup olmadığını kontrol etmeleri önerilir.