VMware ESXi’da kritk güvenlik açığı tespit edildi. Özellikle fiyde saldırı grublarının kullandığı zafiyet ile sanal makine diskleri şifrelenebiliyor.
Güvenlik açıkları CVE-2019-5544 ve CVE-2020-3992 kodları ile takip edilebilirken zafiyet ilk olarak ekim ayında RansomExx fidye yazılımını dağıtan grup tarafından kullanıldığı düşünülüyor.
Güvenlik araştırmacıları, zafiyetin ESXi’daki SLP protokünden kaynaklandığını açıkladılar. Şuana kadar yapılan tespitler vcenter’a erişim olmasa bile bu zafiyeti kullanarak ESXi üzerinde yetki sahipi olunmasına neden olabiliyor. Özellikle ESXi yapılarında ortak depolama birimleri kullanıldığı düşünüldüğünde sanallaştırma altyapısındaki tüm vm’lerin saldırganlar tarafından şifreleneme tehlikesi bulunmakta.
Şuana kadar sadece RansomExx saldırılarında bu yönetimin kullanıldığı görülsede geçen ay ortaya çıkan Babuk Locker fiyde saldırısında da aynı yöntemin kullanıldığı düşünülüyor. Bunun yanında Siber güvenlik şirketi KELA’a geçen yıl ilegal forumlarda şifrelenmiş disklerin satıldığı bildiridi.
VMware zafiyet ile ilgili bazı updateler yayınlamış durumda ve saldırıyı önlemek için alınacak tedbirleri listelenmiş. VMware SLP’nin kapatılmasını öneriyor.
https://kb.vmware.com/s/article/76372
VMware kullanan şirket ve kurumlar düşünüldüğünde güncelleme ve önerilen güvenlik adımlarının vakit kaybetmeden yapılması büyük önem taşıyor.
Kaynak: zdnet.com