CVE-2021-21973 · Bilgilendirme

VMware vCenter Server and Cloud Foundation Server Side Request Forgery (SSRF) Vulnerability

VMware vCenter ve Cloud Foundation'da bulunan SSRF zafiyeti, bilgilerin yetkisiz ifşasına yol açabilir.

Üretici
VMware
Ürün
vCenter Server and Cloud Foundation
Seviye
yüksek
Yayın Tarihi
04 Nisan 2026
Okuma
9 dk okuma

CVE-2021-21973: VMware vCenter Server and Cloud Foundation Server Side Request Forgery (SSRF) Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2021-21973, VMware vCenter Server ve Cloud Foundation ürünlerinde bulunan bir Sunucu Yanıtı Yalnızlık (SSRF) açıklığını temsil etmektedir. Bu zafiyet, vCenter Server eklentisindeki URL'lerin uygun şekilde doğrulanmaması nedeniyle oluşmaktadır. Sonuç olarak, kötü niyetli bir aktör, sistem üzerinden yetkisiz bilgiye erişim sağlayabilir. SSRF zafiyeti, bir sistemin bir URL'ye veya dış API'ye istek gönderdiği durumlarda, iç ağda bulunan kaynakların kötüye kullanılmasına olanak tanır. Bu tür bir zafiyet, sızma testleri sırasında saldırganların sistemin iç yapılarına erişim sağlama kabiliyetini artırır.

Zafiyetin kaynağı, VMware'in geliştirdiği vCenter Server eklentisinin içindeki URL doğrulama işlemlerinin yetersizliğidir. Örneğin, bir saldırgan, sistemin URL kontrol mekanizmasını aşarak, iç ağdaki hassas bilgilere ulaşabilir. Bu durum, sızma testi senaryolarında, bir ağın izinsiz erişimlerini keşfetmek açısından oldukça kullanışlı bir yöntem olarak görülebilir. Aşağıdaki basit bir Python kodu örneği ile açıklayalım:

import requests

def ssrf_exploit(target_url):
    # Burada hedef siteye istek gönderiyoruz
    response = requests.get(target_url)
    return response.content

# Test için kullanılacak iç URL
test_url = "http://localhost/admin"

print(ssrf_exploit(test_url))

Yukarıdaki kod, bir SSRF zafiyetinin nasıl kullanılabileceğini göstermektedir. Bu tür bir kod, bir saldırgan tarafından içine aslında izin verilmemesi gereken URL'ler verilerek çalıştırılabilir. Bu da sistemlerin iç verilerine ulaşım sağlamasına olanak tanır.

CVE-2021-21973 zafiyetinin etkileri dünya genelinde büyük olmuştur. Eğitim kurumları, sağlık sektörü ve finans kuruluşları gibi çeşitli endüstrilerde önemli güvenlik açıklarına yol açmıştır. Bu yapıların çoğu, hassas müşteri verilerini ve operasyonel bilgileri içerdiğinden, bu tür bir zafiyetin istismar edilmesi ciddi sonuçlar doğurabilir. Özellikle bulut tabanlı hizmetler sunan firmalar, kullanıcılara daha iyi hizmet verebilmek için sürekli olarak güncellemeler yapmak durumunda kalmaktadır. Ancak, bu güncellemeler zamanında yapılmadığı takdirde ortaya çıkabilecek açığın istismar edilmesi, kurumsal itibarın zedelenmesi ve maddi kayıplara yol açabilir.

Bu tür bir zafiyetten korunmak için, URL doğrulama mekanizmaları güçlendirilmeli ve sistem yapılandırmaları dikkatlice gözden geçirilmelidir. Dolayısıyla, eklentiler ve uygulamalar sürekli olarak güncellenmeli, potansiyel tehditlere karşı aktif izleme yapılmalıdır. White Hat Hacker’lar olarak, bu tür zafiyetlerin tespit edilmesi ve sistemlerin güvenliğinin sağlanması yönünde önemli görevler üstlenmeliyiz. Sadece kendi sistemlerimize değil, diğer kuruluşların güvenliğini de göz önünde bulundurarak, etik hackerlık ilkelerine sadık kalarak zafiyetleri bulmak ve raporlamak önceliğimiz olmalıdır.

CVE-2021-21973 durumunda olduğu gibi, gelişmiş sistemlerde dikkate alınan zafiyetlerin kararlılığı, kullanıcıların bilgileri ve işletmelerin güvenilirliği açısından kritik öneme sahiptir. Dolayısıyla, bu tür zafiyetlere karşı düzenli pen-test (sızma testi) yapılması ve takip edilmesi gereken tehditleri belirlemek, sürekli iyileştirmeyi amaçlayan bir yaklaşım sergilenmelidir.

Teknik Sömürü (Exploitation) ve PoC

VMware vCenter Server ve Cloud Foundation üzerindeki CVE-2021-21973 zafiyeti, kötü niyetli kullanıcıların hedef sistem üzerinde Server Side Request Forgery (SSRF) saldırıları gerçekleştirmesine olanak tanır. Bu tür bir zafiyet, bir sistemin dışarıdan gelen istekleri yanlış bir şekilde işleyerek, yetkisiz bilgi elde edilmesine veya hassas bilgilerin açığa çıkmasına yol açabilir. Zafiyet, özellikle düzgün URL doğrulaması yapılmadığı için ortaya çıkmaktadır.

Sistem yöneticileri ve beyaz şapkalı hacker'ların bu tür bir zafiyeti anlaması, sistem güvenliğini artırmak adına büyük önem taşır. SSRF, genellikle iç ağdaki servislere erişim sağlamak amacıyla istismar edilir. Bu bağlamda, bu zafiyeti kullanarak nasıl bir saldırı gerçekleştirileceğine dair adım adım bir yol haritası sunuyoruz.

İlk aşamada, VMware vCenter Server ve Cloud Foundation’ın kurulu olduğu bir ortamda, hedef ağın mimarisini anlamak kritik öneme sahiptir. Bu aşamada, sistemin mevcut yapılandırmaları ve hangi portların açık olduğu, hangi servislere erişimin sağlanabileceği gibi bilgiler toplanmalıdır. Örneğin, ağ üzerinde çalışan bir veritabanı servisi veya başka bir iç hizmete erişme potansiyeli araştırılmalıdır.

Sonrasında, SVR (Server Side Request Forgery) zafiyetinin istismarı için gereken HTTP isteklerini hazırlamak üzere bir arayüz oluşturmalıyız. Aşağıdaki gibi bir HTTP isteği, vCenter Server üzerinde SSRF saldırısını başlatmak için kullanılacaktır:

POST /rest/com/vmware/cis/session 
Content-Type: application/json

{
    "username": "<username>",
    "password": "<password>"
}

Yukarıdaki isteği gönderdiğimizde, vCenter oturumu açılır ve daha fazla bilgiye erişim sağlamak için gerekli yetkileri kazandığımızı varsayıyoruz. Bu noktada, URL doğrulama hatası sayesinde iç ağdaki bir hizmete erişim sağlamak için aşağıdaki örnekteki gibi yeni bir istek oluşturabiliriz:

GET /api/v1/internal_service HTTP/1.1
Host: <vcenter-server-ip>

Elde ettiğimiz bu yanıt, iç hizmetin bilgilerini içerebilir. Örneğin, veri tabanı bağlantı bilgilerine ulaşmak veya iç ağda çalışan başka sistemlerden bilgi almak mümkün hale gelir. Bunun sonucunda, hassas bilgiler, kimlik bilgileri veya sistem yapılandırmaları ele geçirilmiş olabilir.

Elde edilen verilerin analizi, daha fazla istismar fırsatları doğurabilir. Örneğin, ele geçirilen veritabanı kimlik bilgileri ile RCE (Remote Code Execution - Uzaktan Kod Yürütme) saldırıları düzenlenebilir. Bunun yanında, hedef sistem üzerinde yetkisiz erişim için yapılacak bir Auth Bypass (Yetki Atlama) denemesi, daha fazla bilgi elde etmemizi sağlayabilir.

Sonuç olarak, CVE-2021-21973 zaafiyetinin etkili bir şekilde istismar edilmesi, sistem yöneticilerinin güvenlik açıklarını düzenli olarak gözden geçirmesi gerektiğinin altını çizmektedir. Bu tür zafiyetlerin farkında olmak ve bunlara karşı önlemler almak, siber saldırılara karşı koyma yeteneğimizi artırır. Unutulmamalıdır ki, bilgi güvenliği sadece zafiyetleri kapatmakla değil, aynı zamanda bu zafiyetlerin nasıl istismar edilebileceğini bilmekle de ilgilidir. Beyaz şapkalı hacker’lar, bu tür durumlara hazırlıklı olmak ve düzenli olarak sistemlerinizi test etmek suretiyle daha güvenli bir ortam yaratabilirler.

Forensics (Adli Bilişim) ve Log Analizi

Server Side Request Forgery (SSRF) zafiyeti, özellikle web tabanlı uygulamalarda sıklıkla karşılaşılan bir güvenlik açığıdır. VMware vCenter Server ve Cloud Foundation ürünlerinde tespit edilen CVE-2021-21973 zafiyeti, kayıt dışı erişim ve bilgi ifşası gibi ciddi güvenlik sorunlarına yol açabilmektedir. Siber güvenlik uzmanları için, bu tür zafiyetlerin tespiti ve analizi, kritik bir öneme sahiptir. Bu yazıda, bir siber güvenlik uzmanının bu saldırının yapıldığını SIEM (Security Information and Event Management) veya log dosyalarında nasıl anlayacağını ve hangi imzalara (signature) bakması gerektiğini ele alacağız.

Öncelikle, SSRF saldırılarının doğası gereği, genellikle kötü niyetli aktörler, hedef sistemdeki iç veya dış kaynaklara erişim sağlamak amacıyla sızma girişimlerinde bulunurlar. İşlem, genellikle bir uygulamanın zarar görebilir URL’leri yeterince titiz bir şekilde kontrol etmediği durumlarda başlar. VMware ürünlerinde keşfedilen bu zafiyet, kötü niyetli bir kullanıcının iç ağ üzerinde yer alan veri kaynaklarına veya hizmetlere erişim sağlamasına imkan tanır. Dolayısıyla, bu tür saldırılara karşı proaktif bir yaklaşım benimsemek, kurumların güvenliğini artırmak adına kritik öneme sahiptir.

Bir siber güvenlik uzmanı, SSRF saldırısını tespit etmek için birkaç önemli log dosyasını ve belirgin imzaları incelemelidir. Öncelikle, erişim loglarını (Access Log) analiz etmek faydalı olacaktır. Aşağıda, SSRF saldırılarına işaret edebilecek bazı önemli göstergeleri listeledik:

  • İç ağ adreslerine (örneğin, 192.168.x.x veya 10.x.x.x) yapılan istekler: Bu tür IP adresleri, genellikle yerel ağ içerisindeki hizmetlere erişim sağlamak için kullanılabilir. Aşağıdaki gibi bir log girişi dikkat çekici olabilir:
  192.168.1.100 - - [01/Mar/2023:10:15:22 +0300] "GET http://192.168.1.50/api/data HTTP/1.1" 200 345
  • Bilinmeyen veya şüpheli URL’lerin kullanılması: Uygulama içerisinde sıkça kullanılmayan veya tanınmayan URL’lerin çağrılması, olası bir SSRF saldırısının belirtisi olabilir. Örneğin:
  192.168.1.100 - - [01/Mar/2023:10:15:23 +0300] "GET http://internal-service.local:8080/admin HTTP/1.1" 404 0

  • Hatalı veya beklenmedik yanıt kodları: Tipik olarak, bir SSRF saldırısı sonuçlandığında, beklenmeyen yanıt kodları alabilirsiniz. Örneğin, belirli bir kaynağa erişirken genellikle 404 (bulunamadı) veya 500 (sunucu hatası) gibi kodlar almanız, dikkat etmeniz gereken bir durumdur.

  • Sık tekrar eden aynı IP adresinden gelen istekler: Kötü niyetli bir kullanıcının hedef sistem üzerinden birden fazla kez sızma girişiminde bulunduğuna işaret edebilir. Bu tür bir kalıp aşağıdaki gibi gözlemlenebilir:

  192.168.1.100 - - [01/Mar/2023:10:15:30 +0300] "GET http://192.168.1.70/api/resource HTTP/1.1" 200 678

Log analizi, güvenlik uzmanlarına şüpheli aktiviteleri tespit etmenin yanı sıra, saldırının ne kadar süredir devam ettiğini ve hangi sistemlerin etkilendiğini anlamada yardımcı olur. SIEM platformları, bu tür logları toplamak, filtrelemek ve analiz etmek için etkili araçlar sunar.

Sonuç olarak, CVE-2021-21973 gibi SSRF zafiyetlerini tespit etmek, karmaşık bir süreç olsa da, doğru log analizi ve güvenli yapılandırmalar ile önlenebilir. Güvenlik uzmanları, bu tür zafiyetlere karşı sistemlerini güçlendirmek için sürekli güncel kalmalı ve detaylı izleme yöntemlerini uygulamalıdır.

Savunma ve Sıkılaştırma (Hardening)

VMware vCenter Server ve Cloud Foundation'da bulunan CVE-2021-21973 zafiyeti, sunucu yanıtı sahtekarlığı (SSRF) olarak bilinen bir güvenlik açığını içermektedir. Bu açık, bir vCenter Server eklentisi içinde URL'lerin yetersiz doğrulanması nedeniyle ortaya çıkmaktadır. Bu durum, kötü niyetli kullanıcıların dahili sistem kaynaklarına erişim sağlamasına ve gizli bilgilere ulaşmasına olanak tanımaktadır. Bu zafiyetin kötüye kullanılması, veri sızıntılarına veya sistemin daha büyük bir saldırıya maruz kalmasına yol açabilir.

SSRF açıkları, genellikle iç ağdaki hizmetlerin dışardan erişim sağlanabilen bir yolunu kullanarak sömürülür. Örneğin, bir saldırgan, eklentinin sunduğu bir hizmeti kullanarak iç ağdaki başka bir servisi hedef alabilir. Bunun sonucunda, hassas bilgiler ele geçirilebilir veya güvenlik sistemleri bypass edilebilir. Bu tür durumların gerçek dünya senaryolarında yaşanabileceğini düşünürsek, büyük veritabanı sunucularına veya yönetim arayüzlerine erişim sağlanması, ciddi maddi zararlara yol açabilir.

Bu tür bir güvenlik açığını kapatmanın en önemlisi, doğru sıkılaştırma (hardening) yöntemlerinin uygulanması ve gerekli güvenlik önlemlerinin alınmasıdır. Öncelikle, vCenter Server ve Cloud Foundation üzerinde kullanılan eklentilerin güncel olup olmadığını kontrol etmek kritik bir adımdır. Yazılımın en son güncellemeleri ve yamaları yüklenmeli, bilinen zafiyetler giderilmelidir.

Firewall (güvenlik duvarı) ve Web Uygulama Güvenlik Duvarı (WAF) gibi çözüm önerileri burada devreye girmektedir. Özellikle WAF, gelen isteklerin analizi ile bilinmeyen veya şüpheli URL taleplerini fark edebilir. Aşağıda yer alan örnek WAF kuralı, potansiyel SSRF isteklerini engellemeye yardımcı olabilir:

SecRule REQUEST_URI "@rin '/etc/passwd|localhost|127.0.0.1|::1'" \
"phase:2,id:10000,deny,status:403"

Bu kural, isteklerde yer alan belirli anahtar kelimeleri kontrol eder ve eğer bunlardan biri tespit edilirse isteği reddeder. Böylece, iç ağda bulunan hassas verilere erişim sağlanması engellenmiş olur.

Ayrıca, bir başka önlem olarak, uygulama sunucularının yapılandırmasını gözden geçirmek ve yalnızca gerekli olan iletişim yollarının açık olmasını sağlamak gerekir. Gerekli olmayan servislerin kapalı tutulması, SSRF gibi açıkların etkisini minimize eder. Dahili ağ üzerindeki sistemlerden yalnızca belirli IP aralıklarına izin vererek kurallar koymak da faydalı olacaktır.

Açığın kalıcı olarak kapatılması için organizasyonların siber güvenlik stratejilerini gözden geçirmeleri ve bir güvenlik denetim programı oluşturmaları gerekmektedir. Bu program, gerekli güncellemelerin takibi ve uygulamaların düzenli olarak gözden geçirilmesi gibi adımları içermelidir. Özellikle siber güvenlik konusunda eğitim programları, personelin güvenlik açıklarını tanımasına ve bu tür durumlarla başa çıkabilmesine yardımcı olur.

Son olarak, tüm sistemlerinizi dışardan gelebilecek tehditlere karşı sürekli olarak gözlemlemek ve potansiyel zafiyetleri önceden belirlemek, güvenlik duruşunuzu güçlendirecektir. Bunun yanı sıra, düzenli pentest (penetre test) ve güvenlik taramaları ile olası tehditleri erken aşamada tespit etmek, organizasyonunuzun veri güvenliğini artıracaktır. VMware vCenter Server ve Cloud Foundation üzerinde bu tür önlemleri alarak, SSRF gibi açıkları minimize edebilir ve kurumsal verilerinizi daha güvende tutabilirsiniz.