Giriş
CISA, ransomware çetelerinin yüksek öneme sahip VMware ESXi “sandbox” kaçış açıklarını istismar etmeye başladığını doğruladı. Bu açıklar, daha önce sıfır-gün saldırılarında kullanılmıştı ve kritik riskler barındırıyor.
Saldırı Nasıl Çalışıyor?
Broadcom, CVE-2025-22225 koduyla bilinen bu ESXi “arbitrary-write” açığını Mart 2025’te yamanmıştı. Ayrıca şu açıklar da çözüme kavuşturuldu:
- CVE-2025-22226 – Bellek sızıntısı
- CVE-2025-22224 – TOCTOU hatası
Açıklamalara göre, VMX sürecinde yetkilere sahip bir kötü niyetli aktör, “arbitrary kernel write” tetikleyerek sandbox’tan kaçabilir. Bu üç zafiyet, VMware ESX ürünlerini etkilemektedir; bunlar arasında VMware ESXi, Fusion, Cloud Foundation, vSphere, Workstation ve Telco Cloud Platform yer alır.
Etkilenen Sistemler
Bu güvenlik açıklarının, özellikle aşağıdaki ürünleri etkilediği belirtildi:
- VMware ESXi
- VMware Fusion
- VMware Cloud Foundation
- VMware vSphere
- VMware Workstation
- VMware Telco Cloud Platform
Sonuç olarak, yetkili kullanıcılar bu açıkları kullanarak sanal makinenin sandbox’ından kaçış gerçekleştirme potansiyeline sahiptir.
Ransomware Saldırılarında Kullanımı
CISA, yaptığı güncellemelerle CVE-2025-22225 açıklarının ransomware kampanyalarında aktif olarak kullanıldığını bildirdi. Bu durum, saldırganların açıktan yararlanma konusunda ne kadar fırsat bulduklarına dair ciddi bir endişe yaratmaktadır. CISA, bu açığı Mart 2025’te “Bilinen İstismar Edilen Açıklar” (KEV) kataloguna ekledi ve federal ajansların sistemlerini 25 Mart 2025 tarihine kadar güvence altına almasını zorunlu kıldı.
Cybersecurity ajansı, “Satıcı talimatlarına göre önlemler uygulayın, bulut hizmetleri için geçerli BOD 22-01 yönergelerini takip edin veya önlemler mevcut değilse ürün kullanımını durdurun” önerisinde bulunmaktadır.
Çözüm ve Korunma
Ransomware çeteleri ve devlet destekli siber saldırı grupları, VMware açıklarını hedef almakta, zira VMware ürünleri, genellikle hassas kurumsal verilerin saklandığı sistemlerde yaygın olarak kullanılmaktadır. Önlem olarak aşağıdaki adımları izlemeniz önemlidir:
- Sistemlerinizi en son güncellemelerle yamalayın.
- Güvenlik duvarınızı ve ağ erişim kontrol ayarlarınızı gözden geçirin.
- Risk altındaki VMware ürünlerini izleyin ve gereksiz olanları devre dışı bırakmayı değerlendirin.
Sonuç olarak, bu tür güvenlik açıklarıyla karşılaşmamak için aşağıdaki adımları uygulamak kritik öneme sahiptir.
Aksiyon
Hemen aşağıdaki işlemleri gerçekleştirin:
- CVE-2025-22225 ve diğer ilgili CVE’lere ilişkin güncellemeleri yükleyin.
- Güvenlik protokollerini gözden geçirip güncelleyin.
- İhtiyaç dışı portları kapatın ve kimlik doğrulama kontrollerini güçlendirin.
Bu adımları atarak sistemlerinizi koruma altına alabilirsiniz. Unutmayın, proaktif bir yaklaşım, siber güvenlik risklerinizi minimize etmenin en etkili yoludur.
