Microsoft, VMware ESXi hipervizörlerinde tespit edilen ve fidye yazılımı operatörleri tarafından aktif olarak kullanılan bir güvenlik açığı konusunda önemli bir uyarı yayınladı. Bu açıklık, özellikle alan adına katılmış ESXi hipervizörlerini etkiliyor ve yeterli Active Directory (AD) izinlerine sahip saldırganların hipervizör üzerinde tam yönetici kontrolü kazanmasına olanak tanıyor. Bu kontrol, hipervizörün dosya sistemini şifreleme, barındırılan sanal makinelerin işlevsiz hale gelmesi, veri sızdırma ve ağ içinde yan hareket gibi ciddi sonuçlara yol açabilir.
Siber Ortamda Gerçekleşen Sömürü
Microsoft araştırmacıları, bu güvenlik açığının Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest gibi çeşitli fidye yazılımı grupları tarafından kullanıldığını gözlemlemiştir. Saldırılar genellikle, “ESX Admins” adında bir alan grubu oluşturarak ve kullanıcıları buna ekleyerek, ESXi hipervizöründe tam yönetici ayrıcalıkları vermek şeklinde gerçekleşmektedir. Özellikle Black Basta fidye yazılımının Storm-0506 grubu tarafından kullanıldığı bir saldırıda, saldırganlar ilk olarak bir Qakbot enfeksiyonu ile erişim sağlamış, ardından bir Windows CLFS açığı (CVE-2023-28252) kullanarak ayrıcalıklarını yükseltmiştir.
Önlem ve Tavsiyeler
Broadcom, CVE-2024-37085 ile ilgili güvenlik güncellemeleri yayınlamıştır. Yöneticilere, sistemlerini korumak için bu güncellemeleri derhal uygulamaları şiddetle tavsiye edilmektedir. Güncelleme almayan ESXi sürümleri için VMware, güvenlik açığını hafifletmek amacıyla belirli ileri düzey ayarlarını değiştirilmesini önermektedir. Ayrıca, Microsoft tüm hesaplarda çok faktörlü kimlik doğrulama (MFA) uygulanmasını, ayrıcalıklı hesapların üretkenlik hesaplarından izole edilmesini ve ESXi hipervizörleri gibi kritik varlıkların güvenlik duruşunun iyileştirilmesini önermektedir.
VMware ESXi hipervizörlerini kullanan kuruluşlar, fidye yazılımı saldırılarının riskini azaltmak için önerilen yamaları derhal uygulamalı ve en iyi uygulamaları takip etmelidir. Bu tür güvenlik açıklarının varlığı, kuruluşların sürekli olarak güvenlik yapılarını gözden geçirmeleri ve güncel tehditlere karşı proaktif önlemler almaları gerektiğini göstermektedir.
- Microsoft, VMware ESXi’deki güvenlik açığı için uyarıda bulundu.
- Fidye yazılımı grupları, açığı aktif olarak kullanıyor.
- Kuruluşlar, güvenlik yamalarını acilen uygulamalı.