Birçok fidye yazılımı grubu, VMware ESXi hipervizörlerindeki kimlik doğrulama atlama hatasını, sanallaştırılmış ortamlarda kötü amaçlı yazılımları hızla dağıtmak için silah olarak kullanıyor.
VMware, hataya (CVE-2024-37085) CVSS ölçeğinde 10 üzerinden “orta” 6,8 puan atadı. Ortalama puan büyük ölçüde bir saldırganın hedefin Active Directory’sinde (AD) mevcut izinlere sahip olmasını gerektirmesinden kaynaklanmaktadır.
Ancak AD erişimleri varsa saldırganlar önemli hasara yol açabilir. Hiçbir teknik hileye başvurmadan, ESXi ayrıcalıklarını anında maksimuma çıkarmak için CVE-2024-37085’i kullanabilirler ve bu da fidye yazılımı dağıtımına, veri sızdırmaya, yanal harekete ve daha fazlasına kapı açabilir. Storm-0506 (diğer adıyla Siyah Basta), Fırtına-1175, Deniz İneği Fırtınası (bir parçası Kötü Şirket), Ve Sekizinci Fırtına (diğer adıyla Scattered Spider) bunu zaten denedi ve Black Basta gibi fidye yazılımlarını dağıttı Akira.
Broadcom yakın zamanda bir düzeltme yayınladı, web sitesinde mevcuttur.
CVE-2024-37085 Nasıl Çalışır
Bazı kuruluşlar, kullanıcı yönetimi için AD kullanacak şekilde ESXi hipervizörlerini yapılandırır. Bunu yaparak kuruluşların kendilerini beklenmedik bir şeye maruz bıraktıkları ortaya çıktı. Varsayılan olarak, ESXi hipervizörleri “ESX Admins” adlı bir AD etki alanı grubunun herhangi bir üyesine tam yönetici erişimi verdi.
Microsoft olarak bir blog yazısında belirtildihipervizörün böyle bir etki alanı grubu beklemesi veya bununla ne yapılacağına dair bir kuralı olması için belirli bir neden yok. “Bu grup Active Directory’de yerleşik bir grup değildir ve varsayılan olarak mevcut değildir. ESXi hipervizörleri, sunucu bir etki alanına katıldığında böyle bir grubun var olduğunu doğrulamaz ve bu adı taşıyan bir grubun üyelerine, grup başlangıçta mevcut olmasa bile, tam yönetici erişimiyle davranır,” diye yazdı tehdit istihbarat ekibi. “Ek olarak, gruptaki üyelik, güvenlik tanımlayıcısı (SID) ile değil, adla belirlenir.”
Dark Reading, bu sorunun nasıl ortaya çıktığını öğrenmek için Broadcom’a ulaştı.
CVE-2024-37085’i istismar etmek tamamen önemsizdi. Bir saldırganın AD’de yeterli ayrıcalığı olduğu sürece, ESXi yönetici ayrıcalıkları elde etmek için yapması gereken tek şey hedeflenen etki alanında bir “ESX Yöneticileri” grubu oluşturmak ve buna bir kullanıcı eklemekti. Ayrıca mevcut herhangi bir grubun adını “ESX Yöneticileri” olarak değiştirebilir ve mevcut kullanıcılarından birini kullanabilir veya yeni bir tane ekleyebilirlerdi.
Hipervizörlerle İlgili Riskler
“ESXi’yi hedef alan fidye yazılımı saldırıları Sectigo Ürün Kıdemli Başkan Yardımcısı Jason Soroko, “Özellikle 2020 yılı civarında işletmelerin dijital dönüşüme doğru adımlarını hızlandırmaları ve modern hibrit bulut ile sanallaştırılmış şirket içi ortamlardan faydalanmaları ile sanal makineler giderek daha yaygın hale geliyor” şeklinde açıklıyor.
Tüm ticari mantıklarına rağmen, sanallaştırılmış ortamlar aynı zamanda hackerlara benzersiz avantajlar sağlar. Hipervizörler genellikle aynı anda birçok VM’i çalıştırır ve bu da onları fidye yazılımlarını mümkün olduğunca yaygın bir şekilde patlatmak için tek durak noktası haline getirir ve bu VM’ler genellikle kritik hizmetleri ve iş verilerini barındırır.
Bunların bilgisayar korsanları için yararlılığı, Microsoft’un blogunda belirttiği gibi, güvenlik ürünlerinin hipervizörler için sınırlı görünürlüğe ve korumaya sahip olması sorununu daha da rahatsız edici hale getiriyor. Soroko, bunun “izolasyonları, karmaşıklıkları ve korumaları için gereken özel bilgi nedeniyle” olduğunu açıklıyor. Bu izolasyon, geleneksel güvenlik araçlarının tüm ortamı izlemesini ve korumasını zorlaştırıyor ve API entegrasyon sınırlamaları bu sorunu daha da kötüleştiriyor.
Bu eksiklikleri kapatmak için Microsoft, yamalarla güncel kalmanın ve kritik ve savunmasız varlıklar etrafında daha geniş siber hijyen uygulamalarının önemini vurguladı. Soroko, “Saldırganlar, maksimum fırsat sağlayan en az dirençli yolu kullanmayı severler,” diyor ve fidye yazılımı aktörlerinin gelecekte bu sistemleri giderek daha fazla hedef alacağını ekliyor.