ESXi hypervisor vulnerability for mass encryption yazımızın kaynağı Microsoft tarafından yayınlanan 29 Temmuz 2024 makalesine dayanmaktadır. Bu makeleye aşağıdaki linkten ulaşabilirsiniz. Makale detaylarında VMWARE ESXI Hypervisors “ESX Admins” adlı bir domain grubunun default olarak domaine katılan ESXi Hypervisors üzerinde full admin haklarına sahip olduğu ortaya çıkmıştır.
CVE-2024-37085 olarak tanımlanan güvenlik açığı, üyelerine uygun doğrulama olmaksızın default olarak ESXi Hypervisors tam yönetim erişimi verilen bir etki alanı grubunu içermektedir.
Bu açıklıktan faydalanmak için 3 yol bulunmaktadır;
- ESX Admins grubunun domaine eklenmesi ve içerisine kullanıcı eklenmesi
- Herhangi bir domain grubunun ESX Admins olarak rename edilmesi ve içerisine kullanıcı veya group eklenmesi.
- Başka group yönetime HyperVisor Admin grubuna atansa bile ESX Admins grubu hemen kaldırılmaz.
ESX Hypervisors tam denetime sahip bir kullanıcı dosya sistemine kriptolama yeteneklerine sahip olur , Ayrıca hosted VM den data çıkarma(exfiltrate data) veya yatay da ilerleme (lateral movement) sağlayabilmektedir.
Sızılan Makinelerde saldırganlar ;
net group “ESX Admins” /domain /add
net group “ESX Admins” username /domain /add
komutlarını çalıştırmaktadır.
Bu konudaki Mitigation şöyledir;
- VMWARE tarafından yayınlanan en son Security Update geçilmesi sağlanmalıdır.
- Eğer Update geçilemiyorsa ESX Admins grubunun varlığı ve hardened durumda olup olmadığı.
- ESXI HyperVisor admin grubunun başka grupla değiştirilmesi.
Sonuç olarak sistemlerde ESXi hypervisor vulnerability for mass encryption açığından dolayı dikkatli olmakta fayda vardır. Yukarıdaki komutları kendi sistemlerde test etmek gerekmektedir. Diğer yazılarımı aşağıdaki kategorilerden takip edebilirsiniz.