TCSEC: Son Kullanıcı Etkisi ve Önemi
Siber güvenlik alanında son zamanlarda dikkat çeken bir olay, Çin merkezli tehdit aktörlerinin SonicWall VPN cihazını ele geçirerek VMware ESXi’yi hedef alan bir saldırı gerçekleştirmesi oldu. Bu durum, kritik altyapılara yönelik siber saldırıların artışını ve VMware ürünlerinin güvenlik açıklarının hızla istismar edilebileceğini gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Huntress siber güvenlik firması, belirtilen saldırının Mart 2025 ‘te kamuoyuna duyurulan ve CVE-2025-22224 (CVSS skoru: 9.3), CVE-2025-22225 (CVSS skoru: 8.2) ve CVE-2025-22226 (CVSS skoru: 7.1) kodlarına sahip üç sıfır gün açığını kullandığına dair bulgular elde etti. Başarılı bir istismar, kötü niyetli bir aktörün yönetici yetkileri ile Sanal Makine Yürütücüsü (VMX) işleminden bellek sızdırmasına veya VMX işlemi olarak kod çalıştırmasına olanak tanıyabilir.
Etkilenen Sistemler
Bu saldırı, aşağıdaki bileşenlerin istismarını içerir:
- CVE-2025-22224 : Sanal makine ile ana bilgisayar arasındaki bellek sızıntısına olanak tanır.
- CVE-2025-22225 : Sandığı aşma (sandbox escape) riski taşır.
- CVE-2025-22226 : Saldırganın hedef ana makinelerin belleklerine sızmasına olanak sağlar.
U.S. Cybersecurity and Infrastructure Security Agency (CISA), bu zayıflıkları Bilinen İstismar Edilmiş Zayıflıklar (KEV) kataloğuna eklemiştir.
Çözüm ve Korunma
Saldırının başarılı bir şekilde gerçekleştirilmesinin ardından elde edilen verilere göre, kötü niyetli yazılımın içinde yer alan bileşenler şunlardır:
- exploit.exe: Tüm sanal makine kaçışını yönetir.
- devcon.exe: VMware’ın misafir tarafındaki VMCI sürücülerini devre dışı bırakır.
- MyDriver.sys: Kernel bellek içinde yüklü bulunan bir imzasız sürücüdür ve zayıflıkların kullanılmasına olanak tanır.
Bu araçlar kullanılarak gerçekleştirilen istismarlar sonucunda, saldırganlar VMX belleğine üç yük yazar:
- Birinci aşama shell code, VMX kumanda denetiminden kaçış için ortamı hazırlar.
- İkinci aşama shell code, ESXi ana bilgisayarında kalıcı bir yer edinir.
- VSOCKpuppet : ESXi ana bilgisayarına sürekli uzaktan erişim sağlar ve VSOCK (Virtual Sockets) port 10000 üzerinden iletişim kurar.
Sonuç ve Aksiyon Adımları
Bu saldırı, sanal makine izolasyonunu aşmayı ve temel ESXi hypervizörünü tehlikeye atmayı başaran çok aşamalı bir saldırıdır. Kullanıcıların, sistemlerini korumak için aşağıdaki önlemleri alması önerilir:
- VMware ürünlerinizi en son güvenlik yamalarıyla güncelleyin.
- Gereksiz portları kapatın.
- Güvenlik izleme ve olay yanıt süreçlerinizi gözden geçirin.
Bu durum, siber tehditler karşısında alacağımız önlemlerin ne kadar kritik olduğunu bir kez daha hatırlatmaktadır.
