Yeni Güvenlik Açığı: CVE-2025-41244
Son dönemde, Broadcom VMware araçları ve VMware Aria Operations üzerinde etki yaratan yeni bir güvenlik açığı, CVE-2025-41244 koduyla duyuruldu. Bu açık, yerel ayrıcalık yükseltme (local privilege escalation) hatası olarak tanımlanıyor ve CVSS skoruyla 7.8 olarak derecelendiriliyor. Açığın orta noktasında, UNC5174 adlı bir tehdit grubu tarafından istismar edilmesi yer alıyor. Bu grup, Ekim 2024’ten beri bu açık üzerinden saldırılar gerçekleştiriyor.
Etkin Versiyonlar ve Riskler
Açık, aşağıdaki VMware ürünlerini etkiliyor:
- VMware Cloud Foundation 4.x ve 5.x
- VMware Cloud Foundation 9.x.x.x
- VMware vSphere Foundation 9.x.x.x
- VMware Aria Operations 8.x
- VMware Tools 11.x.x, 12.x.x ve 13.x.x
Bu bağlamda, VMware tarafından yayımlanan bir bildirimde, “VMware Tools kurulu olan ve Aria Operations tarafından yönetilen bir sanal makineye (VM) erişimi olan kötü niyetli bir yerel aktör, bu açığı kullanarak aynı VM üzerinde kök (root) ayrıcalıklarına ulaşabilir,” ifadesi yer aldı. Bu durum, açık bir tehdit oluşturmakta ve sistem güvenliğini tehlikeye atmaktadır.
Önemli Detaylar ve İstismar Yöntemi
NVISO Labs araştırmacısı Maxime Thiebaut, bu açığı 19 Mayıs 2025 tarihinde bir olay müdahale raporu sırasında keşfetti. Yapılan incelemelere göre, ağa dahil olan bir saldırgan, CVE-2025-41244 açığını kullanarak, yerel bir kullanıcı için kök ayrıcalıkları elde etme şansı yakaladı. Bu tür bir istismar, genellikle sistem yönetimi ve yetkilendirme süreçlerini aşacak kadar sinsi bir yöntemle gerçekleşiyor.
Açığın kökeni, get_version() adlı bir fonksiyona dayanmakta. Bu fonksiyon, her dinleyen soket ile ilişkili süreç için belirli bir regex deseni alıyor ve eğer belirli koşullar sağlanıyorsa, desteklenen hizmetin versiyon komutunu çağırıyor. Ancak burada dikkat çeken detay, geniş eşleşen karakter grubu kullanılarak, sistem dışı ikili dosyaların da eşleşmeye girmesi. Örneğin, /tmp/httpd gibi bir konumda yer alan ikili dosyaların yazılabilir olması, saldırganların bu boşlukları kullanmasına imkan tanıyor.
UNC5174’ün Rolü ve Etkileri
UNC5174 ve benzeri gruplar, bu tür açıkları istismar etme konusunda deneyim sahibidir. İlgili araştırmalar, bu grubun Ivanti ve SAP NetWeaver gibi çeşitli güvenlik açıklarını kullanarak hedef çevrelere erişim sağladığını göstermektedir. Thiebaut, “Başarılı bir yerel ayrıcalık yükseltmesi durumunda, yetkisiz kullanıcıların ayrıcalıklı bağlamlarda (örneğin, kök) kod yürütme şansı bulunuyor,” şeklinde açıkladı.
Bu açığın, zararlı biçimde kullanılması, birçok farklı mala virüs türünün üzerinde etkili olmasına neden olabilir. Açığın kötüye kullanılması için, bir saldırganın yalnızca iki koşulu sağlaması yeterlidir: yeterli ayrıcalık düzeyine sahip olmayan bir kullanıcı hesabıyla sistemi işletmek ve kötü niyetli bir ikili dosya yüklemek.
Güvenlik Önlemleri ve Patch’ler
Açığın kapatılması için VMware, VMware Tools 12.4.9 ve daha sonraki sürümleri içeren güncellemeler sağladı. Özellikle, Windows 32-bit sistemler için bu güncellemenin gerekli olduğu belirtildi. Bunun yanı sıra, Linux tedarikçilerinin, CVE-2025-41244 açığını ele alan bir versiyonu dağıtacağı bilgisi de verildi.
Bu tür güvenlik açıklarının nasıl ortaya çıktığını anlamak, sistem yöneticileri ve güvenlik uzmanları için kritik öneme sahiptir. Yazılım güncellemeleri ve yamaların düzenli bir şekilde uygulanması, bu tür istismar girişimlerinin önlenmesinde önemli bir rol oynamaktadır.
Sonuç ve Öneriler
Siber güvenlik alanındaki bu tür tehditlerle baş edebilmek için, kurumların güvenlik politikalarını gözden geçirmesi ve sürekli güncellemeler ile açılara karşı proaktif bir yaklaşım sergilemesi gerekmektedir. Ayrıca, şirketlerin kullanıcıları için düzenli eğitimler vermesi, bu tür siber tehditlere karşı farkındalığı artıracaktır.
