CVE-2024-37085: Fidye Yazılımı Operatörleri, Toplu Şifreleme için VMware ESXi Hypervisor Güvenlik Açığını İstismar Ediyor
Microsoft araştırmacıları, etki alanına katılmış ESXi hipervizörlerinde tam yönetim izinleri elde etmek için çeşitli fidye yazılımı operatörleri tarafından istismar edilen bir ESXi hipervizörlerindeki güvenlik açığını ortaya çıkardı. CVE-2024-37085 olarak tanımlanan güvenlik açığı, üyelerine uygun doğrulama olmaksızın varsayılan olarak ESXi hipervizörüne tam yönetim erişimi verilen bir etki alanı grubunu içeriyor.
Güvenlik Açığı Ayrıntıları
CVE-2024-37085, yeterli Active Directory (AD) iznine sahip saldırganların daha önce kullanıcı yönetimi için AD kullanmak üzere ayarlanmış bir ESXi ana bilgisayarının tam kontrolünü ele geçirmesini sağlayan 6,8 CVSS puanına sahip bir kimlik doğrulama atlama güvenlik açığıdır. Bir Active Directory etki alanına katılan VMware ESXi hipervizörleri, "ESX Admins" adlı bir etki alanı grubunun herhangi bir üyesine otomatik olarak tam yönetim erişimi verir ve bu da CVE-2024-37085'in istismar edilmesini kolaylaştırır.
Microsoft araştırmacıları CVE-2024-37085'in istismarı için üç olası yöntem sunuyor:
1. *Alan Adı Grubu Oluşturma: Saldırganlar "ESX Admins" adında bir alan adı grubu oluşturabilir ve kendilerini veya başkalarını bu gruba ekleyebilirler.
2. *Mevcut Bir Grubun Adını Değiştirme: Mevcut etki alanı grupları "ESX Admins" olarak yeniden adlandırılabilir ve bu da saldırganların gruba kullanıcı eklemesine olanak tanır.
3. * Hypervisor Ayrıcalıklarının Yenilenmesi: Saldırganlar, güvenlik açığından yararlanmak için ESXi hypervisor ayrıcalıklarını yenileyebilir.
Fidye Yazılımı Grupları Tarafından İstismar
CVE-2024-37085, Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest gibi çeşitli fidye yazılımı grupları tarafından Akira ve Black Basta fidye yazılımlarını dağıtmak için vahşi doğada aktif olarak istismar edildi. Microsoft, bu grupların ESXi hipervizörlerine tam yönetim erişimi elde etmelerine olanak tanıyan bir uzlaşma sonrası tekniği kullandıklarını ve hipervizörün dosya sistemini şifrelemelerini ve barındırılan sunucuların işlevselliğini bozmalarını sağladığını bildirdi.
Örneğin, Rapid7 tarafından ayrıntılı olarak açıklanan yakın tarihli bir olayda, güvenlik açığı sıfır gün saldırılarında tespit edildi ve en az yarım düzine fidye yazılımı işlemi tarafından alt akış dosya sistemlerini şifrelemek için kullanıldığı vurgulandı. CVE-2024-37085'in istismarı, saldırganların barındırılan sanal makinelere (VM'ler) erişmesine olanak tanır ve ağ içinde veri sızdırmayı ve yanal hareketi kolaylaştırır, saldırının etkisini daha da kötüleştirir[4][5].
Savunmasız Ürünler
Aşağıdaki ürünler ve sürümler CVE-2024-37085'e karşı savunmasızdır:
- VMware ESXi 8.0 (ESXi80U3-24022510'da düzeltildi)
- VMware ESXi 7.0 (planlanan yama yok)
- VMware Cloud Foundation 5.x (5.2'de düzeltildi)
- VMware Cloud Foundation 4.x (planlanan yama yok)
Azaltma Rehberi
Etki alanına katılmış ESXi hipervizörleri kullanan kuruluşlara, CVE-2024-37085'i ele almak için VMware tarafından yayımlanan güvenlik güncellemelerini uygulamaları önerilir. Ayrıca, güvenlik duruşlarını iyileştirmek için aşağıdaki en iyi uygulamaları göz önünde bulundurmalıdırlar:
- *İnternet Bağlantısını Sınırlandırın: ESXi sunucuları ilk erişim riskini azaltmak için hiçbir zaman genel internete bağlanmamalıdır.
- *Geçici Çözümler Uygulayın: Hemen güncelleme yapmak mümkün değilse, kuruluşlar Broadcom'un tavsiyelerinde yer alan geçici çözüm önerilerini uygulamalıdır.
- *Kimlik Bilgisi Hijyeni: Yetkisiz erişim riskini en aza indirmek için kimlik bilgisi yönetimi konusunda en iyi uygulamaları izleyin.
- *Düzenli Tarama: Potansiyel güvenlik açıklarını ve kör noktaları belirlemek için ağ cihazlarında kimlik doğrulamalı taramalar gerçekleştirin.
Gerekli yamaları uygulayarak ve en iyi uygulamaları takip ederek kuruluşlar, CVE-2024-37085 ile ilişkili riskleri azaltabilir ve kritik altyapılarını bu güvenlik açığından yararlanan fidye yazılımı saldırılarından koruyabilir.
Alıntılar:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-37085
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-37085