güvenlik açıkları
VMware 18 Mayıs’ta ürünlerinde iki güvenlik açığını yamaladı: CVE-2022-22972 ve CVE-2022-22973. Problemin ne kadar ciddi olduğunu şuradan anlayabiliriz: Aynı gün içinde ABD İç Güvenlik Bakanlığı tüm Federal Sivil Yürütme Organları’nın yamaları yükleyerek veya bu mümkün değilse VMware ürünlerini kurumun ağından kaldırarak beş gün içinde bu güvenlik açıklarını kapatmaları gerektiğini bildiren bir direktif yayınladı. Bu durumda Amerikan devlet kurumlarına uyup derhal yamaları yüklemek mantıklı görünüyor.
Güvenlik açıkları neler?
Güvenlik açıkları şirketin beş ürününü etkiliyor: VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation ve vRealize Suite Lifecycle Manager.
CVSS ölçeğinde 9,8 şiddetinde puanlanan birinci güvenlik açığı CVE-2022-22972 özellikle tehlikeli görünüyor. Bu açığın kötüye kullanılması, saldırganların kimlik doğrulamadan sistem içinde yönetici hakları elde etmesine olanak sağlayabiliyor.
İkinci güvenlik açığı olan CVE-2022-22973 ise ayrıcalık yükseltmeyle ilgili. Bu açığı kullanmak için saldırganların halihazırda sistemde bazı haklara sahip olması gerekiyor. Bu yüzden şiddet düzeyi CVSS ölçeğinde 7,8 puanla diğerine göre biraz daha düşük. Ancak bu hata da ciddiye alınmalı, çünkü bu açığı kullanan saldırganlar sistemde ayrıcalıklarını kök düzeyine kadar yükseltebiliyor.
Konu hakkındaki resmi SSS sayfasından daha fazla bilgi edinebilirsiniz.
CVE-2022-22973 ve CVE-2022-22972 güvenlik açıklarının gerçek şiddeti
VMware ve CISA uzmanları henüz bu güvenlik açıklarının gerçek hayatta kötüye kullanımıyla karşılaşmamış. Ancak CISA’nın acil direktifinin altında yatan bir sebep var: Nisan ayında VMware aynı ürünlerde birden fazla güvenlik açığını kapattıktan 48 saat sonra saldırganlar bu açıkları kötüye kullanmaya başlamıştı (Vmware yazılımlarının henüz yamalanmadığı sunucularda). Diğer bir deyişle, benzer bir durumda saldırganların güvenlik açıklarını kötüye kullanmaya başlaması iki günden az bir sürede gerçekleşmişti. Dolayısıyla bunun tekrarlanmasından endişe ediliyor.
Dahası CISA uzmanları, birilerinin bu yeni iki güvenlik açığını Nisan’daki bazı güvenlik açıklarıyla (özellikle CVE 2022-22954 ve CVE 2022-22960 ile) birlikte kullanarak karmaşık hedefli saldırılar gerçekleştirebileceğine inanıyor. Bu yüzden tüm federal kurumların bu güvenlik açıklarını 23 Mayıs 2022, Doğu ABD saatiyle 17:00’a kadar kapatmasını zorunlu kılıyorlar.
VMWare ürünlerindeki güvenlik açıklarının kötüye kullanımı nasıl önlenir
VMware öncelikte güvenlik açığı bulunan tüm yazılımların desteklenen sürümlere yükseltilmesini, ardından yamaların yüklenmesini öneriyor. Güncel sürümleri VMware LogoProduct Lifecycle Matrix sayfasından kontrol edebilirsiniz. Yüklemeden önce yedekleme yapmak veya güncelleme gerektiren programların anlık görüntüsünü almak öneriliyor. Yamaları ve yükleme ipuçlarını VMware Knowledge Base sayfasında bulabilirsiniz.
Bütün bunlara ek olarak, internete erişimi olan tüm bilgi sistemleri için güvenilir güvenlik çözümleri yüklemeniz gerektiğini de unutmamalısınız. Sanal ortamlar için buna özel bir koruma kullanılmalı.
Ek bir koruma katmanı olarak altyapıdaki aktiviteleri izlemenizi ve kötü amaçlı giriş işaretlerini saldırganlar gerçek bir zarar vermeden önce tespit etmenizi sağlayan çözümler kullanmanız da işinize yarayacaktır.
