VMware, şimdi saldırılarda kullanılan kritik bir vCenter açığını doğruluyor.

VMware, ekim ayında yaması yapılan kritik bir vCenter Server uzaktan kod yürütme açığının şu anda aktif bir şekilde sömürüldüğünü doğruladı.

vCenter Server, VMware vSphere ortamlarını yönetmeye yardımcı olan bir yönetim platformudur ve yöneticilere ESX ve ESXi sunucularını ve sanal makineleri (VM'ler) yönetme olanağı sağlar.

Şirketin bu hafta orijinal danışmana eklenen bir güncelleme ile ilgili olarak, "VMware, CVE-2023-34048'nin sömürüldüğünü doğruladı" dedi.

Zafiyet, Trend Micro güvenlik araştırmacısı Grigory Dorodnov tarafından bildirildi ve vCenter'ın DCE/RPC protokolü uygulamasındaki bir dizi dışında yazma zayıflığından kaynaklanmaktadır.

Saldırganlar, kimlik doğrulama veya kullanıcı etkileşimi gerektirmeyen, yüksek gizlilik, bütünlük ve kullanılabilirlik etkisine sahip düşük karmaşıklıklı saldırılarda uzaktan sömürü yapabilirler. Kritik doğası nedeniyle VMware, aktif destek almayan birden fazla ürün için de güvenlik yamaları yayınlamıştır.

Ağ erişimi aracılar, genellikle VMware sunucularını ele geçirir ve ardından kurumsal ağlara kolay erişim için fidye yazılımı çetelerine satarlar. Birçok fidye yazılım grubu (örneğin Royal, Black Basta, LockBit ve daha yakın zamanda RTM Locker, Qilin, ESXiArgs, Monti ve Akira), kurbanların VMware ESXi sunucularını doğrudan hedef alarak dosyalarını çalmak ve şifrelemek ve büyük fidyeler talep etmekle bilinir.

Shodan verilerine göre, şu anda çevrimiçi olarak maruz kalan 2.000'den fazla VMware Center sunucusu bulunmaktadır ve vSphere yönetim rolü nedeniyle saldırılara karşı savunmasız olabilir, kurumsal ağları ihlal riskine maruz bırakabilir.

VMware, bu açığı yamasız kapatamayan yöneticilere vSphere yönetim bileşenlerine sıkı bir ağ çevresi erişim kontrolü uygulamalarını sıkı bir şekilde önermektedir.

"VMware, genel etkili bir güvenlik durumu olarak vSphere ve ilgili bileşenlerde, depolama ve ağ bileşenleri gibi, tüm yönetim bileşenleri ve arayüzlerine sıkı ağ çevresi erişim kontrolünü şiddetle önermektedir," uyarısında bulundu.

Bu zafiyeti hedef alan saldırılarda potansiyel olarak sömürülen belirli ağ bağlantı noktaları 2012/tcp, 2014/tcp ve 2020/tcp'dir.

Haziran ayında VMware, kod yürütme ve kimlik doğrulama atlatma riski taşıyan birden çok yüksek şiddetli vCenter Server güvenlik açığını düzeltti.

Aynı hafta, şirket Çin devlet hackerları tarafından veri hırsızlığı saldırılarında kullanılan bir ESXi zero-day'i düzeltti ve müşterileri başka bir aktif olarak sömürülen kritik Aria Operations for Networks zafiyeti konusunda uyardı.

Yılın başından bu yana, IT yöneticileri ve güvenlik ekipleri, aktif olarak sömürülen bir dizi güvenlik açığı uyarısıyla başa çıkmak zorunda kaldı, bunlar arasında Ivanti Connect Secure, Ivanti EPMM ve Citrix Netscaler sunucularını etkileyen zero-day'ler bulunmaktadır.

Etiket: #ACTIVELY #EXPLOITED #RCEREMOTECODEEXECUTION #VCENTERSERVER #VMWAREWARNING

Kategori: WARNING

Eklenme Tarihi: 19.01.2024