VMware, Ekim ayında yamalanan kritik bir vCenter Server uzaktan kod yürütme güvenlik açığının şu anda aktif olarak istismar edildiğini doğruladı.
vCenter Server, yöneticilerin ESX ve ESXi sunucularını ve sanal makineleri (VM’ler) yönetmesine yardımcı olan, VMware vSphere ortamlarına yönelik bir yönetim platformudur.
Şirket , bu hafta orijinal danışma belgesine eklenen bir güncellemede “VMware, CVE-2023-34048’in istismarının yaygın olarak gerçekleştiğini doğruladı ” dedi .
Güvenlik açığı, Trend Micro güvenlik açığı araştırmacısı Grigory Dorodnov tarafından bildirildi ve vCenter’ın DCE/RPC protokolü uygulamasındaki sınır dışı yazma zayıflığından kaynaklanıyor .
Saldırganlar, kimlik doğrulama veya kullanıcı etkileşimi gerektirmeyen, yüksek gizlilik, bütünlük ve kullanılabilirlik etkisine sahip, düşük karmaşıklıktaki saldırılarda uzaktan yararlanabilir. VMware, kritik doğası nedeniyle, aktif desteği olmayan birden fazla kullanım ömrü sonu ürünü için güvenlik yamaları da yayınlamıştır.
Ağ erişim komisyoncuları, VMware sunucularını devralmayı ve ardından kurumsal ağlara kolay erişim için siber suç forumlarında fidye yazılımı çetelerine satış yapmayı seviyor. Pek çok fidye yazılımı grubunun ( Royal , Black Basta , LockBit ve daha yakın zamanda RTM Locker, Qilin , ESXiArgs , Monti ve Akira gibi ) artık kurbanların VMware ESXi sunucularını doğrudan hedef alarak dosyalarını çalmaları, şifrelemeleri ve büyük taleplerde bulunmalarıyla biliniyor.
Shodan verilerine göre, 2.000’den fazla VMware Center sunucusu şu anda çevrimiçi durumda, potansiyel olarak saldırılara karşı savunmasız durumda ve vSphere yönetim rolleri göz önüne alındığında kurumsal ağları ihlal risklerine maruz bırakıyor.
Geçici bir çözüm olmadığından VMware, sunucularına yama yapamayan yöneticileri, vSphere yönetim bileşenlerine ağ çevre erişimini sıkı bir şekilde kontrol etmeye çağırdı.
Şirket, “VMware, vSphere’deki tüm yönetim bileşenlerine ve arayüzlere ve depolama ve ağ bileşenleri gibi ilgili bileşenlere, genel etkili güvenlik duruşunun bir parçası olarak sıkı ağ çevresi erişim kontrolünü şiddetle tavsiye ediyor” diye uyardı .
Bu güvenlik açığını hedef alan saldırılarda potansiyel istismarla bağlantılı belirli ağ bağlantı noktaları 2012/tcp, 2014/tcp ve 2020/tcp’dir.
Haziran ayında VMware, savunmasız sunuculara kod yürütme ve kimlik doğrulama atlama riskleri oluşturan çok sayıda yüksek önem derecesine sahip vCenter Sunucusu güvenlik kusurunu da giderdi.
Aynı hafta şirket, Çinli devlet korsanları tarafından veri hırsızlığı saldırılarında kullanılan bir ESXi sıfır gününü düzeltti ve müşterilerini , aktif olarak istismar edilen başka bir kritik Aria Operations for Networks kusuru konusunda uyardı .
Yılın başından bu yana, BT yöneticileri ve güvenlik ekipleri, Ivanti Connect Secure , Ivanti EPMM ve Citrix Netscaler sunucularını etkileyen sıfır günler de dahil olmak üzere, aktif olarak istismar edilen birden fazla güvenlik açığına ilişkin uyarıları ele almak zorunda kaldı.