Broadcom, VMware vCenter’ı etkileyen, ikisi kritik önemde olan ve uzaktan kod yürütülmesine (RCE) izin veren üç güvenlik açığına yönelik düzeltmeler yayınladı. Açıklamalar, barındırdıkları hassas veri ve uygulamalardan oluşan zengin depolar sayesinde sanal makinelerin (VM’ler) bilgisayar korsanlarının dikkatini çekmeye devam ettiği bir dönemde geldi. Hemen yama yapmak iyi bir fikirdir.
vCenter, VMware sanal ortamları için merkezi yönetim konsoludur ve VM’leri, birden fazla ESXi ana bilgisayarını ve tüm bağımlı bileşenleri tek bir merkezi konumdan görüntülemek ve yönetmek için kullanılır. CVE-2024-37079 ve CVE-2024-37080, vCenter’ın DCERPC uygulamasındaki yığın taşması güvenlik açıklarıdır (Dağıtılmış Bilgi İşlem Ortamı/Uzaktan Prosedür Çağrısı’nın kısaltmasıdır), uzak bir makinedeki bir işlevi sanki yerel bir makineymiş gibi çağırmak için kullanılır.
DCERPC, özellikle uzaktaki bir bilgisayar korsanıysanız, uzaktaki makinelerle etkileşimde bulunmak için kullanışlıdır. Ağ erişimi olan bir saldırgan, özel hazırlanmış bir ağ paketi kullanarak, vCenter tarafından yönetilen VM’lerde kendi kodunu uzaktan yürütmek için bu güvenlik açıklarından yararlanabilir. Zarar verme potansiyeli, her iki güvenlik açığına da CVSS ölçeğinde 10 üzerinden kritik 9,8 puan kazandırdı.
Broadcom ayrıca vCenter’da sudo’nun yanlış yapılandırılmasından kaynaklanan bir dizi yerel ayrıcalık yükseltme güvenlik açığını da yamaladı. “Süper kullanıcı do” veya “yedek kullanıcı do”nun kısaltması olan sudo, Unix sistemlerindeki kullanıcıların, varsayılan olarak kök düzeyinde, başka bir kullanıcının ayrıcalıklarıyla komutları çalıştırmasına olanak tanır. Kimliği doğrulanmış bir yerel kullanıcı, bir vCenter Server cihazında yönetici ayrıcalıkları elde etmek için CVE-2024-37081 etiketli hatadan yararlanabilir. 7,8 gibi yüksek bir CVSS puanına sahiptir.
Henüz bu üç güvenlik açığından herhangi birinin vahşi ortamda istismar edildiğine dair bir kanıt yok; ancak bu durum hızla değişebilir. Düzeltmeler burada bulunabilirve bir soru-cevap sayfası burada.
Bulut VM’lerdeki Risk
Buna göre kendi belgeleriVMware, tüm Fortune 500 ve Fortune Global 100 şirketlerinin %100’ü dahil olmak üzere 400.000’den fazla müşteriye sahiptir. Teknolojisi, sanallaştırılmış iş yüklerinin %80’inden fazlasını ve iş açısından kritik uygulamaların önemli bir kısmını destekler.
Keeper Security güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet şöyle açıklıyor: “Bulut bilişimin artan popülaritesi, birden fazla uygulamayı tek bir fiziksel sunucuda birleştirerek VM kullanımında buna karşılık gelen bir artışa yol açtı.” “Bu birleştirme yalnızca operasyonel verimliliği artırmakla kalmıyor, aynı zamanda saldırganlara tek bir ihlal yoluyla çeşitli hizmetlerden ödün verme fırsatı da sunuyor.”
vCenter Server bu riskin somut örneğidir. VMWare vSphere ve Cloud Foundation platformlarını destekleyen merkezi yönetim yazılımı olarak, hem BT yöneticileri hem de bilgisayar korsanları için başlangıç noktası kuruluşlar genelinde çalışan birçok VM’ye ulaşmak için.
“Başarılı ihlaller Yalnızca hizmetleri kesintiye uğratmak ve mali kayıpları ortadan kaldırmakla kalmıyor, aynı zamanda hassas verilerin açığa çıkmasına ve düzenleyici gerekliliklerin ihlal edilmesine de yol açarak bir kuruluşun itibarına ciddi zararlar verebilir,” diye uyarıyor Tiquet, bu nedenle yeni güvenlik açıkları ortaya çıktıkça yama yapılması hem gerekli hem de yetersizdir. Organizasyonlar rahat olsun.
Ağ bölümleme, güvenlik açığı denetimleri ve olay müdahale planlaması ve güçlü yedeklemelerin sürdürülmesi gibi güvenliği güçlendiren diğer taktiklerin yanı sıra, önden liderlik etmenin ağ yöneticilerinin işi olduğunu söylüyor: “Yöneticiler her zaman güvenli bir kasa ve sırlar kullandıklarından emin olmalıdırlar Yönetim çözümü için gerekli güncellemeleri mümkün olan en kısa sürede uygulamalılar ve ayrıca en son önerilere uyduklarından emin olmak için bulut konsollarının güvenlik kontrollerini de kontrol etmeliler.”