Windows için Xenserver VM araçlarındaki üç kritik güvenlik açığı, saldırganların keyfi kod yürütmesine ve konuk işletim sistemlerinde ayrıcalıkları artırmasına izin verir.
CVE-2025-27462, CVE-2025-27463 ve CVE-2025-27464 olarak tanımlanan kusurlar, 9.4.1’den önce Windows için Xenserver VM araçlarının tüm sürümlerini etkiler.
Güvenlik açıkları, Xen Güvenlik Danışmanlığı kapsamında kamuya açıklandı ve dünya çapında sanallaştırma platformu yöneticilerinden derhal harekete geçti.
.png
)
Bu güvenlik kusurları, Xenserver ve Citrix hipervizör platformlarında Windows sanal makineleri çalıştıran kurumsal ortamlar için önemli bir risk oluşturmaktadır.
Xen Windows PV Sürücü Kusurları
Güvenlik açıkları, Windows PV sürücüleri içindeki kullanıcıya maruz kalan cihazlarda, özellikle üç temel bileşeni etkileyen aşırı izinlerden kaynaklanmaktadır: XENCONS, XENIFACE ve XENBUS.
Güvenlik danışmanlığına göre, bu bileşenlerin “güvenlik tanımlayıcısı yoktur ve bu nedenle müstehcen olmayan kullanıcılar için tam olarak erişilebilir”.
Xencons sürücü güvenlik açığı (CVE-2025-27462) ilk olarak 9.0.0 sürümünde tanıtıldı ve ilk sürümünden bu yana savunmasız.
Xeniface (CVE-2025-27463) ve Xenbus (CVE-2025-27464) sürücüleri tüm sürümlerde savunmasızdır, bu da bunu çok sayıda işletme dağıtımını etkileyen yaygın bir sorun haline getirir.
Etkilenen sistemler arasında Xenserver 8.4’te çalışan Windows sanal makineleri ve Citrix Hypervisor 8.2 Cu1 LTSR.
Özellikle, 9.0.9065 yaşından büyük XCP-NG PV veri yolu, XCP-NG arayüzü ve XCP-NG PV konsol versiyonları savunmasızdır, Xenserver/Citrix PV otobüs versiyonları 9.1.11.115 yaşından büyüktür ve 9.1.12.94’ten daha eski PV arayüz versiyonları da risk altındadır.
Güvenlik açıkları, Windows Konuk İşletim Sistemleri içindeki ayrıcalıksız kullanıcıların ayrıcalıkları konuk çekirdeğininkine yükseltmesini sağlar. Bu, sınırlı erişimi olan saldırganların etkilenen sanal makine üzerinde tam kontrol sahibi olabileceğinden kritik bir güvenlik ihlalini temsil eder.
Bu güvenlik açıkları için CVSSV4.0 skoru, bazı değerlendirmelere göre “düşük” risk olarak sınıflandırılan 5.9’dur, ancak pratik etki şiddetlidir.
Bu kusurlardan yararlanan bir saldırgan, sistem düzeyinde ayrıcalıklarla keyfi kod yürütebilir, potansiyel olarak hassas verileri tehlikeye atabilir, kötü amaçlı yazılımları yükleyebilir veya tehlikeye atılan VM’yi ağ içindeki yan hareket için bir pivot noktası olarak kullanabilir.
Sömürü vektörü yereldir, yani saldırganların zaten Windows konuk sistemine bir miktar erişimi olması gerekir.
Bununla birlikte, bu sınırlama tehdidi önemli ölçüde azaltmaz, çünkü birçok saldırı senaryosu kimlik avı, kötü amaçlı yazılım veya gerekli dayanağı sağlayan diğer vektörler yoluyla ilk uzlaşmayı içerir.
| Cves | Etkilenen ürünler | Darbe | Önkoşuldan istismar | CVSS 3.1 puanı |
| CVE-2025-27462 CVE-2025-27463 CVE-2025-27464 | Windows sürümleri için Xenserver VM Araçları <9.4.1 (Xenserver 8.4, Citrix Hipervizör 8.2 CU1 LTSR) | Xencons Driver aracılığıyla konuk çekirdeğine yerel ayrıcalık yükseltme | Saldırgan Windows Konuk VM’de keyfi ayrıcalıklı kod yürütmeli | 8.8 (Yüksek) |
Hafifletme
Citrix ve Xenserver, bu güvenlik açıklarını ele almak için Windows 9.4.1 için Xenserver VM Tools’u yayınladı.
Güncellenmiş araçlar, Xenbus 9.1.11.115, Xeniface 9.1.12.94 ve diğer yamalı sürücüler dahil olmak üzere belirli bileşen sürümleri içerir.
Yöneticiler, tüm Windows VM’leri en son Xenserver VM Tools sürümüne hemen güncellemeli, birden fazla kullanılabilir kanal aracılığıyla güncellemelidir: Citrix Desteği’nden doğrudan indirme, Windows Update mekanizması veya Yönetim Aracı Otomatik Güncelleme özelliği.
Windows Update kullanan kuruluşlar, “Citrix PV sürücülerini Windows Update aracılığıyla yönetin” etkinleştirildiğini doğrulamalıdır.
Hemen yama yapamayan ortamlar için, güvenlik açıklarını tarayabilen veya kayıt defterine uygun güvenlik tanımlayıcıları ekleyerek geçici düzeltmeler uygulayabilen bir PowerShell azaltma komut dosyası mevcuttur.
Ancak, bu komut dosyası yalnızca Xeniferace sürücü güvenlik açığını ele alır ve geçici bir önlem olarak kabul edilmelidir.
Kritik altyapı operatörleri bu güncellemelere öncelik vermelidir, çünkü sanallaştırılmış ortamlar genellikle görev açısından kritik uygulamalara ve hassas veri sistemlerine ev sahipliği yapar.
Derinlemesine sanal alan kötü amaçlı yazılım analizini deneyin Soc çayınızM. Herhangi birini alın. Özel Teklif Yalnızca 31 Mayıs’a kadar -> Burada deneyin