VMware vCenter Server’daki kritik bir güvenlik açığına yönelik bir kavram kanıtı (PoC) istismarı yayımlandı; bu güvenlik açığı, potansiyel olarak kimliği doğrulanmış uzaktan kod yürütülmesine olanak tanıyor.
CVE-2024-22274 olarak tanımlanan güvenlik açığı, vCenter Server’ın API bileşenlerini etkiliyor ve CVSSv3 temel puanı 7,2 olarak atanarak “Önemli” önem derecesine yerleştiriliyor.
Bu istismar iki belirli API bileşenini hedef alıyor: “com.vmware.appliance.recovery.yedekleme.job.create” Ve “com.vmware.appliance.recovery.yedekleme.doğrulama“. Bu bileşenler, hedef sistemde kök kullanıcı olarak keyfi komutları yürütmek için kullanılabilen bir bayrak enjeksiyon saldırısına karşı savunmasızdır.
Ücretsiz web seminerimize katılarak şu konularda bilgi edinin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
Güvenlik açığını VMware’e bildiren Deloitte Romanya’dan güvenlik araştırmacısı Matei “Mal” Badanoiu, “admin” rolüne sahip bir kullanıcı olarak SSH üzerinden vCenter Server kısıtlı kabuğuna giriş yaparak bu açığı gösterdi.
Badanoiu, belirli API komutlarındaki “–username” alanını manipüle ederek kötü amaçlı SSH işaretleri enjekte edebildi ve kök ayrıcalıklarıyla keyfi komutlar yürütebildi.
PoC, SSH erişimi ve sudo ayrıcalıklarına sahip yeni yerel kullanıcılar oluşturma yeteneğinden yararlanarak saldırganların etkilenen sistem üzerinde tam kontrol sahibi olmalarına olanak tanır.
VMware bu güvenlik açığını kabul etti ve kullanıcıların yanıt matrisinin ‘Sabit Sürüm’ sütununda listelenen güncellemeleri etkilenen dağıtımlara uygulamalarını öneriyor. Şu anda, güvenlik yamalarını derhal uygulamanın önemini vurgulayan hiçbir geçici çözüm mevcut değil.
Bu güvenlik açığı, sanallaştırma ortamlarında güncel güvenlik önlemlerini sürdürmenin kritik doğasını vurgular. VMware vCenter Server kullanan kuruluşlara, sistemlerini değerlendirmeleri ve olası istismar riskini azaltmak için gerekli güncellemeleri uygulamaları şiddetle tavsiye edilir.
vCenter Server’ımın güncel sürümünü nasıl kontrol edebilirim?
vCenter Server’ınızın güncel sürümünü kontrol etmek için şu adımları izleyebilirsiniz:
- vSphere İstemcisine giriş yapın: Web tabanlı vSphere İstemci arayüzü aracılığıyla vCenter Server’ınıza erişin.
- vCenter Server cihazına gidin: Envanter ağacında vCenter Server cihazınızı bulun ve seçin.
- Özet sekmesini kontrol edin: vCenter Server cihazını seçtikten sonra, “Özet” sekmesini arayın. Bu sekme genellikle cihaz hakkında sürümü de dahil olmak üzere temel bilgileri görüntüler.
- Sürüm bilgilerini arayın: Özet sekmesinde, vCenter Server sürümünü gösteren bir bölüm görmelisiniz. Genellikle belirgin bir şekilde görüntülenir ve hem ana sürüm numarasını hem de yapı numarasını içerir.
- Alternatif yöntem – Cihaz kabuğunu kullanın:
- SSH kullanarak vCenter Server Appliance kabuğuna bağlanın.
- Bağlandıktan sonra aşağıdaki komutu çalıştırın:
vpxd -v
Bu komut vCenter Server’ınızın tam sürümünü ve yapı numarasını gösterecektir.
Yönetilen Nesne Tarayıcısı (MOB) üzerinden kontrol edin:
- MOB’a erişmek için web tarayıcınızda https:///mob adresine gidin.
- Yönetici bilgilerinizle giriş yapın.
- İçeriğe git > hakkında
- Tam sürüm numarasını gösterecek olan “version” özelliğini arayın.
Unutmayın, CVE-2024-22274 güvenlik açığı bağlamında etkilenen sürüm 8.0.0.10200’dür. vCenter Server’ınız bu sürümü veya daha önceki bir sürümü çalıştırıyorsa, güvenlik açığı olabilir ve VMware tarafından sağlanan güvenlik güncellemelerini mümkün olan en kısa sürede uygulamayı düşünmelisiniz.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo