Fidye Yazılımı
Bazı siber tehdit risklerini önemli ölçüde azaltsa da sanallaştırma, diğer uygulamalardan çok farklı olup her derde deva değil. ZDNet’inyakın zamanda bildirdiği üzere bir fidye yazılımı saldırısı, örneğin VMware ESXi’nin savunmasız sürümleri aracılığıyla, sanal altyapıyı vurabilir.
Sanal makineleri kullanmak güçlü ve güvenli bir uygulamadır. Örneğin sanal makinede hassas veri bulunmuyorsa, sanal makine kullanmak kötü bir yazılımın bulaşmasından kaynaklanan zararı azaltabilir. Kullanıcı sanal makinede yanlışlıkla bir Truva atını etkinleştirse bile, sanal makinenin yeni bir görüntüsünün kurulması tüm kötü niyetli değişiklikleri tersine çevirir.
Bununla birlikte RansomExx fidye yazılımı, sanal sabit sürücülere saldırmak için özellikle VMware ESXi’deki güvenlik açıklarını hedef alır. Darkside grubunun da aynı yöntemi kullandığı bildirildi ve BabukLocker Truva Atı’nın yaratıcıları üstü kapalı bir şekilde ESXi’yi şifreleyebileceklerini söylediler.
Güvenlik açıkları nelerdir?
VMware ESXi misafir sistem arakatmanı (hypervisor), diğer şeylerin yanı sıra ağ cihazlarını ön yapılandırma olmadan algılayabilen Açık SLP (Hizmet Katmanı Protokolü) aracılığıyla birden çok sanal makinenin tek bir sunucuda bilgi depolamasına imkan sağlar. Söz konusu iki güvenlik açığı eski ve bu sebeple siber suçluların bildiği CVE-2019-5544 ve CVE-2020-3992‘dir. Açıklardan ilki heap overflow saldırılarını gerçekleştirmek için kullanılırken ve ikincisi ise Use-After-Free türündedir — yani işlem sırasında dinamik hafızanın yanlış kullanımı ile ilgilidir.
Her iki güvenlik açığı da bir süre önce kapatıldı (ilki 2019’da, ikincisi 2020’de), ancak 2021’de suçlular yine de bu açıklar sayesinde başarılı saldırılar gerçekleştiriyor. Her zaman olduğu gibi bu, bazı işletmelerin yazılımlarını güncellemediği anlamına geliyor.
Kötü niyetli kişiler ESXi güvenlik açıklarından nasıl faydalanır?
Saldırganlar bu güvenlik açıklarını kötü niyetli SLP talepleri oluşturmak ve veri depolamayı riske atmak için kullanabilir. Bilgiyi şifrelemek için öncelikle ağa girmeleri ve orada bir yer edinmeleri gerekir. Bu büyük bir sorun değildir, hele ki sanal makine bir güvenlik çözümü çalıştırmıyorsa.
Sisteme yerleşmek için RansomExx kullanıcıları örneğin Netlogon Uzak Protokolündeki Zerologon güvenlik açığını kullanabilirler. Yani, bir kullanıcıyı sanal makinede kötü amaçlı kod çalıştırması için kandırırlar, ardından Active Directory denetleyicisinin kontrolünü ele geçirirler ve işte o zaman depolanan veriyi şifreler ve geride bir fidye notu bırakırlar.
Bu arada Zerologon tek seçenek değildir, özel hizmetler olmadan açıktan yararlanıldığını tespit etmek neredeyse imkansız olduğu için en tehlikeli seçeneklerden birisidir.
MSXI saldırılarına karşı nasıl korunabilirsiniz?
- VMware ESXi’yi güncelleyin;
- Güncelleme kesinlikle mümkün değilse VMware’in önerdiği geçici çözümü kullanın (ancak bu yöntemin bazı SLP özelliklerini sınırlayacağını unutmayın);
- Microsoft Netlogon güvenlik açığını düzeltmek için onu da güncelleyin;
- Sanal olanlar da dahil ağdaki tüm makineleri koruyun;
- Geleneksel antivirüs çözümleri tarafından görülemeyen karmaşık çok aşamalı saldırıları bile algılayan Managed Detection and Response kullanın.
İpuçları