CVE-2024-37085: VMware ESXi Güvenlik Açığı Detayları ve Kapatılmasına Yönelik Teknik Rehber
VMware ESXi, birçok işletmenin sanallaştırma ihtiyaçlarını karşılamak için kullandığı popüler bir hipervizördür. Ancak, güvenlik açıkları, bu tür kritik altyapılar için büyük tehditler oluşturabilir. CVE-2024-37085, VMware ESXi'nin belirli sürümlerinde tespit edilen kritik bir güvenlik açığıdır. Bu makalede, CVE-2024-37085 güvenlik açığının kapatılmasına yönelik adımları ve teknik detayları ele alacağız.
CVE-2024-37085 Güvenlik Açığının Teknik Detayları
CVE-2024-37085, VMware ESXi'nin belirli sürümlerinde tespit edilen bir güvenlik açığıdır. Bu açık, saldırganların yetkisiz erişim sağlamasına ve potansiyel olarak sunucular üzerinde kötü amaçlı işlemler gerçekleştirmesine olanak tanıyabilir. Bu güvenlik açığı, özellikle ağ tabanlı saldırılara karşı savunmasızdır ve saldırganların uzaktan kod çalıştırmasına neden olabilir.
Güvenlik Açığının Kapatılması
CVE-2024-37085 güvenlik açığını kapatmak için aşağıdaki adımları izleyin:
1. Güncelleme ve Yama Yönetimi
En etkili yöntem, VMware tarafından yayımlanan güvenlik yamalarını ve güncellemeleri uygulamaktır. VMware'in resmi web sitesinde veya güvenlik bildirimi sayfasında bu açıkla ilgili yayımlanan yamaları ve güncellemeleri kontrol edin. Yama yönetimi için şu adımları izleyin:
- Yama Notlarını Okuyun: VMware'in yayımladığı yama notlarını dikkatlice inceleyin ve ilgili güncellemeleri indirin.
- Yedekleme Yapın: Herhangi bir güncelleme veya yama uygulamadan önce, sisteminizin tam bir yedeğini alın.
- Yamaları Uygulayın: İlgili güncellemeleri ve yamaları sisteminize uygulayın. Bu adım, güvenlik açığını kapatmak için kritik öneme sahiptir.
- Sistem Yeniden Başlatma: Güncellemelerin tam olarak uygulanabilmesi için sisteminizi yeniden başlatın.
2. Güvenlik Duvarı ve İzleme
Sistemlerinizi izleyen ve anormal aktiviteleri tespit eden güvenlik yazılımları kullanın. Bu, olası saldırı girişimlerini erken aşamada tespit etmenize yardımcı olur.
- Güvenlik Duvarı Kuralları: Güvenlik duvarı kurallarını güncelleyerek yalnızca yetkili IP adreslerinin ESXi sunucularınıza erişmesine izin verin.
- IDS/IPS Sistemleri: İzinsiz giriş tespit ve önleme sistemlerini (IDS/IPS) kullanarak, güvenlik açığına yönelik saldırıları tespit edin ve engelleyin.
3. Güvenlik Konfigürasyonları
VMware ESXi sunucularınızın güvenlik konfigürasyonlarını gözden geçirin ve en iyi uygulamalara göre yapılandırın.
- SSH Erişimi: ESXi sunucularında SSH erişimini sınırlayın veya tamamen kapatın.
- Kullanıcı Hesapları: Yetkisiz kullanıcı hesaplarını devre dışı bırakın ve güçlü parolalar kullanın.
- Ağ İzolasyonu: ESXi sunucularınızı ağ izolasyonu sağlayacak şekilde yapılandırın.
4. Eğitim ve Farkındalık
Çalışanlarınıza ve IT personeline, siber güvenlik tehditleri ve en iyi uygulamalar konusunda düzenli eğitim verin. Bu, insan hatalarını en aza indirir ve sistem güvenliğini artırır.
- Düzenli Eğitim: Çalışanlarınıza düzenli olarak siber güvenlik eğitimi verin.
- Farkındalık Programları: Siber güvenlik farkındalık programları düzenleyerek personelin bilgi seviyesini artırın.
CVE-2024-37085: VMware ESXi Güvenlik Açığı Detayları ve Kapatılmasına Yönelik Teknik Rehber
Güvenlik Açığının Tanımı: CVE-2024-37085, VMware ESXi hypervisorlerinde keşfedilen ve geniş çapta ransomware grupları tarafından hedef alınan kritik bir güvenlik açığıdır. Bu açık, saldırganların Active Directory (AD) entegrasyonu ile ilişkilidir ve saldırganların domain-joined ESXi hypervisorlerde tam yönetici yetkileri elde etmesine olanak tanır. Bu, potansiyel olarak tüm sanal makinelerin (VM) şifrelenmesine ve sistemlerin çalışamaz hale gelmesine yol açabilir.
Açığın Teknik Ayrıntıları: VMware ESXi, AD'ye bağlandığında, varsayılan olarak "ESX Admins" adında bir domain grubunun tüm üyelerine tam yönetici erişimi sağlar. Bu grup AD'de varsayılan olarak bulunmaz ve ESXi sunucuları, bu grubun var olup olmadığını doğrulamaz. Bu nedenle, herhangi bir domain kullanıcısı bu grubu oluşturup kendisini bu gruba ekleyerek tam yönetici yetkisi elde edebilir. Saldırganlar bu açığı üç farklı şekilde kullanabilir:
- "ESX Admins" grubunu oluşturup bir kullanıcı eklemek.
- Herhangi bir grubu "ESX Admins" olarak yeniden adlandırmak ve bir kullanıcı eklemek.
- ESXi hypervisor yetkilerini güncellemek, bu da tam yönetici yetkilerinin hemen kaldırılmaması anlamına gelir. (Microsoft Cloud) (Rapid7) (SOCRadar® Cyber Intelligence Inc.)
Zararları: Bu güvenlik açığının başarılı bir şekilde istismar edilmesi, saldırganlara ESXi hypervisor'lerin tam kontrolünü verir ve böylece:
- Hypervisor dosya sisteminin şifrelenmesi.
- Barındırılan sanal makinelerin etkilenmesi ve çalışamaz hale gelmesi.
- Ağ içinde yanlamasına hareket ve veri sızdırma gibi ileri düzey saldırıların gerçekleştirilmesi.
Açığın Kapatılması ve Mitigasyon: VMware, bu güvenlik açığını gidermek için ESXi 8.0 U3 güncellemesini yayınlamıştır. Bu güncelleme, CVE-2024-37085'i ve başka birkaç güvenlik açığını düzeltir. Kullanıcıların bu güncellemeyi mümkün olan en kısa sürede uygulamaları gerekmektedir. (SOCRadar® Cyber Intelligence Inc.) (National Vulnerability Database)
Geçici Çözümler: Eğer güncelleme hemen uygulanamıyorsa, şu geçici çözümler uygulanabilir:
- ESXi advanced option
Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd
'itrue
değerindenfalse
'a değiştirmek. Config.HostAgent.plugins.vimsvc.authValidateInterval
'i 1440'dan 90'a ayarlamak.Config.HostAgent.plugins.hostsvc.esxAdminsGroup
'i“ESX Admins”
yerine boş bırakmak veya farklı bir değere ayarlamak.
Bu geçici çözümler, ESX Admins grubunun yönetici yetkilerini azaltacaktır, ancak tam bir çözüm değildir. Kalıcı bir çözüm için ilgili güncellemenin uygulanması şiddetle tavsiye edilir.
Sonuç:
CVE-2024-37085, VMware ESXi hypervisorlerinde ciddi güvenlik riskleri oluşturan bir açık olup, özellikle ransomware grupları tarafından hedef alınmaktadır. Sistem yöneticilerinin bu açığı kapatmak için gerekli güncellemeleri ve geçici çözümleri hemen uygulamaları büyük önem taşımaktadır.