Bazı VMware sanallaştırma platformlarıyla ilgili saldırılar ve bir güvenlik açığının olası ihlalleri hakkındaki haberler, birkaç gündür medyada ve haber manşetlerinde yüksek sesle zıplıyor. CVE-2021-21974 olarak anılır – iki yıldır biliniyor ve işletim sistemlerinin sanallaştırılması için üç VMware platformunu etkiliyor. Artan sırada:
•ESXi650-202102101-SG’den önceki ESXi 6.5.x sürümleri
•ESXi670-202102401-SG’den önceki ESXi 6.7.x sürümleri
•ESXi70U1c-17325551’den önceki ESXi 7.x sürümleri
Saldırı birkaç ülkeyi içeriyordu; önce CERT’si geçen Cuma günü olayı bildiren Fransa – ardından İtalya, Finlandiya ve diğer ülkeler. Kampanya, Hizmet Yeri Protokolü adı verilen bir hizmetin savunmasız yüzeyini hedef alarak, uzun süredir güncelliğini yitirmiş sistemleri açıkça hedef aldı. Saldırılara maruz kalmanın azaltılmasına yönelik ilk öneriler aslında bu hizmetin henüz güncellenmemiş sistemlerde devre dışı bırakılmasını önermiştir.
Sürümler arasındaki donanım uyumluluğu sorunları ve zaman alıcı planlama nedeniyle altyapı platformlarının sanallaştırma için güncellenmesinin genellikle basit bir işlem olmadığı söylenmelidir.
Gerçek şu ki, haberlerin İtalya’da yaydığı kargaşa kesinlikle çok, çok yüksek oldu.
Bu aynı zamanda, zamansal bir bakış açısından tesadüfi bir olaydan da kaynaklanıyordu – ancak aynı nedenlere atıfta bulunmadan – Pazar günü dünyanın en önemli 5 İnternet ağından biri olan Sparkle’ın Seabone omurgasını vurdu. Ulusal Siber Güvenlik Ajansı’nın ESXi güvenlik açığı haberlerini yeniden başlatmasıyla birleşen bir dizi kesintinin etkisi, ülke çapında mükemmel bir fırtına etkisi ve siber saldırı panik tepkileri yarattı. ESXi sistemlerinde en az üç nedenden dolayı ciddi ve acildir: – bir sanallaştırma platformunu etkiler, bu nedenle normalde çok sayıda potansiyel olarak kritik hizmet oluşturmak için kullanılan bir altyapı – bir açıktan yararlanma ile istismar edilirse, saldırganın uzaktan kod yürütmesine izin verir , örneğin arşivleri şifreleyin ve fidye isteyin – iki yıl önce bilinen güvenlik açıkları listelerinde yer aldı, satıcı tarafından kritik olarak sınıflandırıldı, bu nedenle çözüm yolunda azami dikkat ve aciliyete değer
Bir güvenlik açığı öğrenildiğinde, saldırganlar, Shodan veya Zoomeye gibi bir veya daha fazla güvenlik açığı veya hizmet verilen İnternet’teki açıkta kalan yüzeyleri belirlemede uzmanlaşmış gerçek arama motorlarını ellerinin altında bulundururlar. Bu nedenle, siber suçluların periyodik olarak gerçek büyük ölçekli saldırı kampanyalarıyla bu kusurları çözmeye çalışmaları şaşırtıcı olmamalıdır.Endişe verici olan, İtalya’da birkaç düzine sistemin ele geçirildiğine dair haberler olması, bu da eskimiş sistemlerin varlığı anlamına geliyor. ve belirtilen ciddiyet ve aciliyete rağmen güncellenmedi! Bu, hangi nedenle olursa olsun sistemlerin güncellenmesinin mümkün olmaması durumunda uygulanan telafi edici kontrollerin olmaması anlamına gelir! Bu, bir saldırıyı görev hedefine ulaşmadan çok önce izleyememe, tespit edememe, hafifletememe ve etkisiz hale getirememe anlamına gelir! çareler planlanırken herhangi bir saldırıyı tespit eden ve azaltan etkin bir savunma sistemi olmadan kesinlikle imkansızdır.
* , SentinelOne Teknik Direktörü
