Broadcom, vahşi doğada aktif olarak istismar edilen VMware ürünlerindeki üç sıfır günlük güvenlik açığını ele alan güvenlik yamaları yayınladı. Microsoft’un Tehdit İstihbarat Merkezi tarafından keşfedilen ve bildirilen bu güvenlik açıkları, ESXi, Workstation, Fusion, Cloud Foundation ve Telco Cloud Platform dahil olmak üzere birden fazla VMware ürününü etkiliyor.
Broadcom, Microsoft tarafından keşfedilen ve saldırganlar tarafından aktif olarak istismar edilen VMware ürünlerindeki üç kritik sıfır gün açığını ele aldı. Bu kusurlar, yönetici (admin) veya kök erişimi olan saldırganların güvenlik açıklarını zincirlemesine ve sanal makine (VM) sanal alanından kaçmasına izin verdi ve sanallaştırma güvenliği için kritik olan izolasyonu tehlikeye attı.
Güvenlik Açıklarının Ayrıntıları
CVE-2025-22224: Sanal Makine İletişim Arayüzü (VMCI) bileşeninde kritik yığın taşması güvenlik açığı. Sanal makinede yönetici ayrıcalıklarına sahip saldırganlar, ana bilgisayarda VMX işlemi olarak kod yürütmek için bu açığı kullanabilir.
CVE-2025-22225: VMware ESXi’de yüksek önem derecesine sahip keyfi yazma güvenlik açığı. Saldırı, VMX işleminde ayrıcalıklara sahip saldırganların keyfi çekirdek yazmaları yapmasına ve potansiyel olarak bir deneme ortamından kaçmasına olanak tanır.
CVE-2025-22226: Host-Guest Dosya Sistemi’nde (HGFS) yüksek önem derecesine sahip bilgi ifşa güvenlik açığı. Sanal makinede yönetici ayrıcalıklarına sahip saldırganlar, VMX işleminden bellek sızdırmak için bunu kullanabilir.
Etki ve İstismar
Bu güvenlik açıkları, bir konuk sanal makineye yönetici veya kök erişimi olan saldırganların, sanal makinenin sanal alanından kaçmasına ve potansiyel olarak altta yatan ana bilgisayar sistemi üzerinde kontrol elde etmesine olanak tanır. Broadcom, gerçek dünyadaki saldırılarda bu kusurların aktif olarak istismar edildiğini doğruladı.
Güvenlik açıkları keşfedildiği sırada yamalanmamış olduğundan, saldırganların Broadcom düzeltmeleri yayınlamadan önce bunları istismar etmesine olanak sağladı. Saldırganlar kusurları zincirleyerek bir VM’nin izole edilmiş ortamından çıkabilir, potansiyel olarak ana sisteme, diğer VM’lere veya hassas verilere erişebilir; bu, çok kiracılı bulut ortamlarında ciddi bir tehdittir. Saldırganların, muhtemelen kimlik avı, kimlik bilgisi hırsızlığı veya diğer istismarlar yoluyla elde edilen VM içinde önceden yönetici/kök erişimine ihtiyacı vardı.
Etkilenen Ürünler ve Sürümler
- VMware ESXi: Sürüm 7.0 ve 8.0
- VMware Workstation: Sürüm 17.x
- VMware Fusion: Sürüm 13.x
- VMware Cloud Foundation: Sürüm 4.x ve 5.x
- VMware Telco Cloud Platform: Sürüm 2.x, 3.x, 4.x ve 5.x
Önerilen Eylemler
Yöneticilere bu güvenlik açıklarını azaltmak için mevcut yamaların derhal uygulanması lazım. Sanallaştırılmış ortamları olası istismarlardan korumak için hızlı hareket etmek çok önemli.
Kaynak : 